Expertos de G-Data y BAE Systems publicaron recientemente información sobre una operación de ciberespionaje persistente llamada Turla (también conocida como Serpiente o Uroburos). Además de esto, el equipo de investigación y análisis de Kaspersky Lab ahora ha descubierto una conexión inesperada entre Turla y una pieza existente de malware conocido como Agent.BTZ.
En 2008, Agent.BTZ infectó las redes locales del Centro de Comando de los Estados Unidos en el Medio Oriente, un incidente que en ese entonces se denominó “el peor incidente de seguridad a computadoras militares estadounidenses en la historia.” Especialistas en el Pentágono tardaron unos 14 meses en desinfectar completamente el Agent.BTZ de las redes militares, experiencia que condujo a la creación del Comando Cibernético de EE.UU. El gusano, que se cree fue creado alrededor de 2007, tiene la capacidad de escanear las computadoras para obtener información sensible y enviar datos a un servidor de comando y control remoto.
Fuente de inspiración
Kaspersky Lab obtuvo conocimiento inicial de la campaña de ciberespionaje Turla en marzo de 2013, cuando los expertos de la compañía estaban investigando un incidente con un rootkit altamente sofisticado. Originalmente conocido como el “Sun rootkit”, basado en el nombre de un archivo utilizado como un sistema de archivos virtual “sunstore.dmp”, también es accesible como “\.Sundrive1” y “\.Sundrive2”. El “Sun rootkit” y la Serpiente son, de hecho, una y la misma.
Fue durante esta investigación que los expertos de Kaspersky Lab encontraron algunas conexiones interesantes entre Turla, un programa muy sofisticado, multifuncional, y Agent.btz. El gusano Agent.btz parece haber sido la inspiración para la creación de una amplia gama de las más sofisticadas herramientas de ciberespionaje hasta la fecha, incluyendo Octubre Rojo, Turla y Flame/Gauss:
* Octubre Rojo: Los desarrolladores de esta arma claramente tenían conocimiento de la funcionalidad del Agent.btz ya que su módulo de robo de USB (creado en 2010-2011) busca los contenedores de datos del gusano (archivos “mssysmgr.ocx” y “thumb.dd”) que contienen información acerca de los sistemas infectados y registros de actividad, para luego robarlos de las unidades USB conectadas.
* Turla utiliza los mismos nombres de archivo para sus registros (“mswmpdat.tlb”, “winview.ocx” y “wmcache.nld”) mientras se almacena en el sistema infectado, y la misma clave XOR para cifrar sus archivos de registro como Agent.btz.
* Flame/Gauss utiliza convenciones para nombres similares, como archivos “*.ocx” y “thumb*.db”. Además, también utilizan el USB como contenedor para los datos robados.
Una pregunta de atribución
Teniendo en cuenta estos hechos, es evidente que los desarrolladores de las cuatro campañas de ciberespionaje estudiaron al Agent.btz en detalle para entender cómo funciona, los nombres de archivo que utiliza, y utilizaron esta información como un modelo para el desarrollo de los programas de malware, todos los cuales tenían objetivos similares. Pero, ¿esto significa que existe un vínculo directo entre los desarrolladores de estas herramientas de ciberespionaje?
“No es posible establecer una conclusión solo en estos hechos”, comenta Aleks Gostev, Jefe Experto de Seguridad de Kaspersky Lab.” La información utilizada por los desarrolladores era conocida públicamente en el momento de Octubre Rojo y la creación de Flame/Gauss. No es ningún secreto que el Agent.btz utiliza “thumb.dd” como un archivo contenedor para recopilar información de los sistemas infectados y, además, la clave XOR utilizado por los desarrolladores de Turla y Agent.btz para cifrar sus archivos de registro se publicó también en 2008. No sabemos cuándo se utilizó esta clave por primera vez en Turla, pero podemos verlo en las últimas muestras de malware que se crearon alrededor de 2013 al 2014. Al mismo tiempo, hay cierta evidencia que apunta hacia el desarrollo inicial de Turla en el 2006 – antes de cualquier muestra conocida del Agent.btz, lo que deja la pregunta abierta”.
Agent.btz – ¿continuará?
Han habido numerosas modificaciones del gusano Agent.btz . Hoy en día, nuestros productos detectan todas sus formas en el veredicto principal Worm.Win32.Orbina. Debido a su método de replicación (a través de unidades USB) se ha extendido en todo el mundo. Es posible ver de los datos de Kaspersky Lab que en el 2013 fue descubierto el Agent.btz en 13.800 sistemas en 100 países. Esto nos lleva a la conclusión que probablemente existen decenas de miles de unidades USB en todo el mundo infectados con el Agent.btz, que contiene el archivo “thumb.dd” con información sobre los sistemas infectados.