קו מקשר נמצא בין Turla וה"פריצה החמורה בתולדות המחשוב של צבא ארה"ב"

מומחים בחברות G-Data וב- BAE פרסמו לאחרונה מידע אודות פעילות ריגול סייבר בשם טורלה (Turla), המוכרת גם בשמות סנייק או Uroburos. צוות המחקר והניתוח של מעבדת קספרסקי שהמשיך לעבוד על המחקר חושף עתה  קשר בלתי צפוי בין טורלה לבין קוד זדוני הנקרא Agent.TBZ.

בשנת 2008, הקוד הזדוני Agent.BTZ פגע ברשתות מחשוב מקומיות של הפיקוד המרכזי של צבא ארה"ב במזרח התיכון.  הוא הוגדר בזמנו כ"פריצה החמורה ביותר בתולדות המחשוב של צבא ארה"ב". למומחים של הפנטגון ארכו 14 חודשים כדי להסיר לחלוטין את Agent.BTZ  מהרשת הצבאית. קוד זדוני זה היה למעשה הגורם שהביא להקמת מפקדת הסייבר של ארה"ב. התולעת שנוצרה על פי הערכות ב- 2007, החזיקה ביכולת לסרוק אחר מידע רגיש במחשבים ולשלוח אותו לשרתי פיקוד ושליטה מרוחקים.

מקור ההשראה

מעבדת קספרסקי נחשפה לראשונה לקמפיין ריגול הסייבר טורלה במרץ 2013, כאשר מומחי החברה חקרו אירוע הקשור ברוטקיט (rootkit) מתוחכם מאוד. במקור הוא נודע כ"רוטקיט שמש", בגלל שם קובץ ששימש עבור הרוטקיט כמערכת קבצים וירטואלית sunstore.dmp (הוא גם היה נגיש כ- \\.\Sundrive1 ו- \\.\Sundrive2). רוטקיט השמש וטורלה הם למעשה שניים מאותו מין.

במהלך המחקר זיהו מומחי מעבדת קספרסקי קשרים מעניינים בין טורלה, תוכנה מתוחכמת מאוד ומרובת פונקציות, לבין Agent.btz. נראה כאילו האחרון היווה את ההשראה ליצירת טווח שלם של כלי ריגול סייבר מהמתוחכמים ביותר הידועים כיום, כולל אוקטובר האדום, טורלה ופליים/גאוס.

מפתחי אוקטובר האדום ידעו בבירור אודות היכולות של Agent.btz כשפיתחו את מודול ה- USB Stealer (נוצר בשנים 2010-2011) המחפש אחר קבצים שמכילים את נתוני התולעת (mssysmgr.ocx ו- thumb.dd) כולל מידע אודות מערכות נגועות ולוגים של פעילות, ואז גונב אותם מכונן ה- USB המחובר.

טורלה משתמשת באותם שמות קבצי הלוגים שלה (mswmpdat.tlb, winview.ocx ו- wmcach.nld), בעת שהיא מאוחסנת במערכת הנגועה. היא גם משתמשת באותו מפתח הצפנה XOR עבור קבצי הלוגים, כפי שעושה Agent.btz.

פליים/גאוס משתמשים באותו מבנה שמות, כגון קבצי ocx או thumb.db. הם גם משתמשים בכונן USB כאחסון עבור המידע הגנוב.

שאלה של ייחוס

בהתחשב בעובדות האלו, ברור כי מפתחים של ארבעת הקמפיינים השונים למדו לעומק את Agent.btz. הם ניסו להבין כיצד הוא עובד ואת שמות הקבצים שלו, והשתמשו במידע כמודל לפיתוח תוכנות קוד זדוני, שלכולן יעדים דומים. אבל מה משמעות הקו הישיר המחבר בין המפתחים של כלי ריגול אלה?

"לא אפשרי להסיק מסקנות נחרצות בהתבסס על עובדות אלו לבדן", אמר אלכס גוסטב, מומחה אבטחת מידע ראשי במעבדת קספרסקי. "המידע ששימש את  המפתחים היה נגיש לציבור בזמן יציאת אוקטובר האדום ופליים/גאוס. אין זה סוד כי Agent.btz עשה שימוש ב- thumb.dd כקובץ אחסון לאיסוף המידע המגיע מהמערכות הנגועות. בנוסף, מפתח ה- XOR בו השתמשו מפתחי הטורלה וה- Agent.btz כדי להצפין את הלוגים שלהם פורסם בשנת 2008. אנו לא יודעים מתי מפתח הצפנה זה נכנס לשימוש ראשון בטורלה, אבל אנו יכולים לראותו בבירור בדוגמיות אחרונות של הקוד הזדוני שנוצרו בשנים 2013-2014. במקביל, ישנה עדות כלשהי המצביעה על תחילת הפיתוח של טורלה בשנת 2006 – לפני החשיפה הראשונה של Agen.btz, דבר המשאיר אותנו עם שאלות פתוחות".

Agent.btz – המשך יבוא?

במהלך השנים נוצרו מספר גרסאות של תולעת ה- Agent.btz. כיום, מוצרי מעבדת קספרסקי מזהים את כל מודיפיקציות התולעת תחת הסימול המרכזי Worm.Win32.Orbina. הודות לשיטת השכפול שלה (דרך כונן USB נייד) היא הגיעה לתפוצה בינלאומית. מהמידע שבידי מעבדת קספרסקי, ניתן לראות כי ב- 2013 התולעת זוהתה ב- 13,800 מערכות ב- 100 מדינות. הדבר מוביל למסקנה כי קיימים כנראה עשרות אלפי כונני USB בעולם הנגועים ב- Agent.btz,