Группировки киберпреступников вряд ли будут сотрудничать друг с другом

Эксперты из «Лаборатории Касперского» проанализировали связь программы Turla, которая также известна как Snake или Uroburos, с другими известными кибершпионами. После выпуска отчетов по этой угрозе рядом компаний, работающих в сфере IT-безопасности, многие эксперты в данной области выступили с заключением о связи Turla и другого нашумевшего в свое время вредоносного ПО – так называемого Agent.BTZ. Специалисты глобального исследовательского центра «Лаборатории Касперского» выступают с анализом таких заключений.

В 2008 году червь Agent.BTZ заразил локальные сети Центрального командования вооруженных сил США на Ближнем Востоке и был назван самым худшим событием в компьютерной истории ВС США. Согласно некоторым источникам, Пентагон потратил почти 14 месяцев на ликвидацию последствий заражения сетей ВС, и в результате этот случай послужил толчком для создания Кибернетического командования США, внутреннего подразделения ВС США. Вредоносная программа, предположительно созданная в 2007 году, содержала функционал для поиска и отправки ценной информации с зараженных компьютеров в удаленный центр управления.

«Лаборатория Касперского» впервые столкнулась с вышеупомянутым зловредом Turla в марте 2013 года во время расследования  другого инцидента, связанного с применением крайне сложного руткита. Тогда же в ходе расследования специалисты «Лаборатории Касперского» обнаружили интересные факты, указывающие на то, что, по всей видимости, червь Agent.BTZ служил образцом для создателей наиболее технически продвинутого кибероружия – Red October, Turla, а также Flame и Gauss.

Тщательный анализ показал, что создатели Red October, очевидно, знали о функционале червя Agent.BTZ. Написанный ими в 2010-2011 модуль USB Stealer среди прочего ищет и копирует с USB-носителей архивы с накопленной червем информацией, а также его журнальные файлы. Turla в свою очередь использует те же, что и Agent.BTZ, имена файлов для ведения журнала собственных действий и точно такой же ключ для их шифрования. Наконец, программа Flame придерживается похожих с червем расширений файлов и также хранит украденную информацию на  USB-устройствах.

Приняв это во внимание, можно утверждать, что создатели вышеупомянутых кампаний кибершпионажа досконально изучили работу червя Agent.BTZ и переняли опыт для разработки собственных вредоносных программ со схожими целями. Однако это не дает возможности говорить о прямой связи между группами злоумышленников.

Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», отметил: «Основываясь на тех данных, которыми мы владеем, нельзя сделать подобного заявления. Вся информация, использованная разработчиками этих вредоносных программ, была открыта широкой публике как минимум на момент создания Red October и Flame. Не были также секретом и названия файлов, в которых червь накапливал информацию с зараженных систем. Наконец, ключ шифрования, который идентичен в случаях Turla и Agent.BTZ, был обнародован еще в 2008-м. Неизвестно, с каких пор он был применен в Turla. С одной стороны, мы нашли его в образцах, созданных в этом и прошлом годах, с другой стороны, есть информация о том, что создание Turla началось в 2006, прежде чем был обнаружен образец Agent.BTZ. Вследствие этого вопрос о связи разработчиков кибероружия пока остается открытым».

На сегодня червь Agent.BTZ имеет множество модификаций, все из которых выявляются корпоративными и пользовательскими продуктами «Лаборатории Касперского». По данным облачной инфраструктуры Kaspersky Security Network, только в 2013 году червь был обнаружен на почти 14 тысячах компьютеров в 100 странах.

Новости по теме