„Kaspersky Lab“ – apie tai, ar tarpusavyje susiję kibernetinio šnipinėjimo kampanijų kūrėjai, užkrėtę kompiuterius Lietuvoje
Virusai
Penktadienis, 14 kovas 2014 14:12

„Kaspersky Lab“ išnagrinėjo programos „Turla“, taip pat žinomos kaip „Snake“ arba „Urobus“, ryšį su kitais žinomais kibernetiniais šnipais. Kai kelios IT saugumo srityje dirbančios bendrovės išleido ataskaitas apie šią grėsmę, daugelis ekspertų pateikė išvadas dėl „Turla“ ir kitos kenkėjiškos programinės įrangos – vadinamosios „Agent BTZ“, nuo 2011 iki 2013 m. Lietuvoje užkrėtusios daugiau nei 3 tūkst. kompiuterių, ryšio. „Kaspersky Lab“ globalaus tyrimo centro specialistai siūlo šių išvadų tyrimą.

 

2008 m. kirminas „Agent BTZ“ užkrėtė lokalius Centrinio JAV karinių pajėgų valdymo Artimuosiuose Rytuose centrą ir buvo pavadintas blogiausiu įvykiu JAV karinių pajėgų kompiuterinėje istorijoje. Remdamasis keliais šaltiniais Pentagonas dirbo beveik 14 mėnesių likviduodamas karinių pajėgų tinklų užkrėtimo padarinius, ir galiausiai šis atvejis tapo postūmiu sukurti JAV kibernetinį valdymą, JAV karinių pajėgų vidinį padalinį. Kenkėjiška programa, tikriausiai sukurta 2007 m., turėjo vertingos informacijos paieškos ir siuntimo iš užkrėstų kompiuterių į nutolusį valdymo centrą funkcionalą.

 

„Kaspersky Lab“ su virusu „Turla“ pirmą kartą susidūrė 2013 m. kovą tirdama kitą incidentą. Tyrimo metu „Kaspersky Lab“ specialistai aptiko įdomių faktų, rodančių, kad tikriausiai kirminas „Agent BTZ“ tapo techniškiau patobulinto kibernetinio ginklo „Red October“, „Turla“, „Flame“ ir „Gauss“ pavyzdžiu.

 

Išsamus tyrimas parodė, kad „Red October“ kūrėjai galbūt žinojo apie kirmino „Agent BTZ“ funkcionalą. 2010–2011 m. jų sukurtas modulis „USB Stealer“ ieško ir iš atminties nešyklių (angl. USB) kopijuoja archyvus su kirmino sukauptą informacija, taip pat jo žurnalinius failus. „Turla“ savo ruožtu naudoja tuos pačius kaip ir „Agent BTZ“ failų pavadinimus savo veiksmų žurnalui ir tokį pat raktą jiems šifruoti. Pagaliau programa „Flame“ taiko panašų failų išplėtimą, o vogtą informaciją saugo atminties nešyklėse.

 

Todėl galima teigti, kad minėtų kibernetinio šnipinėjimo kampanijų kūrėjai kruopščiai išstudijavo kirmino „Agent BTZ“ darbą ir patirtį pritaikė kurdami savas kenkėjiškas programas. Tačiau tai neleidžia teigti apie tiesioginį ryšį tarp apgavikų grupių.

 

„Pagal mūsų turimus duomenis negalima teigti apie tokį ryšį. Visa šių kenkėjiškų programų kūrėjų naudojama informacija buvo prieinama plačiajai visuomenei, kai buvo sukurti „Red October“ ir „Flame“. Ne paslaptis – buvo ir pavaidinimai failų, kuriuose kirminas kaupė informaciją iš užkrėstų sistemų. Pagaliau šifravimo raktas, identiškas „Turla“ ir „Agent BTZ“, viešai paskelbtas dar 2008 m. Nežinoma, nuo kada jis taikomas „Turla“. Viena vertus, mes jį radome šiais ir praėjusiais metais sukurtuose pavyzdžiuose, kita vertus, yra informacijos, kad „Turla“ pradėtas kurti 2006 m., t. y. anksčiau, nei buvo aptiktas „Agent BTZ“ pavyzdys. Tad klausimas dėl kibernetinio ginklo kūrėjų lieka atviras“, – daro išvadą Aleksandras Gostevas, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas.

 

Šiuo metu kirminas „Agent BTZ“ turi daugybė modifikacijų, visos aptinkamos „Kaspersky Lab“ korporatyvinių ir vartotojams skirtų produktų. Remiantis debesų infrastruktūros „Kaspersky Security Network“ duomenimis, 2013 m. kirminas buvo aptiktas beveik 14 tūkst. kompiuterių 100 šalių.

 

Išsamiai su bendrovės globalaus tyrimo centro atliktu tyrimu galima adresu: http://www.securelist.com/en/blog/8191/Agent_btz_a_source_of_inspiration

 


Susijusios naujienos:


Komentarai

Reklaminis skydelis

Naudingos nuorodos

ManoIT.lt









Mūsų draugai

It naujienos

Deviceinformed