返回新闻列表

Turla与“史上最严重的美国军用计算机泄密事件”有何关联

        继G-Data和BAE.Systems的专家们于近日披露持续性网络间谍软件Turla(也称Snake或Uroburos)之后,卡巴斯基实验室的研究与分析团队有了进一步发现——Turla竟然与一个名为Agent.BTZ的恶意软件有着意想不到的关联。

        早在2008年,恶意软件Agent.BTZ就把魔爪成功伸向了美国中央司令部在中东地区的网络系统。此事在当时即被称为“史上最严重的美国军用计算机泄密事件”。为此,美国五角大楼的安全专家们耗时14个月才将其彻底清除。也正是该事件,促使美国网络司令部成立。这种被认为于2007年左右开发的Agent.BTZ蠕虫病毒能够扫描出计算机上的敏感信息,并向远程命令控制服务器发送数据。

灵感之源

        卡巴斯基实验室最初在2013年3月注意到Turla网络间谍软件,实验室专家当时正在调查一个与高度复杂的rootkit程序有关的事件。这个rootkit最初被命名为“Sun rootkit”,源于一个用作虚拟文件系统文件的文件名“sunstore.dmp”,这个虚拟文件系统也可以通过\\.\Sundrive1和\\.\Sundrive2来访问。根据虚拟文件系统的文件名sunstore.dmp,该程序起先被命名为Sun rootkit。此外,它还可以\\.\Sundrive1和\\.\Sundrive2的名称接入。Sun rootkit与网络间谍软件Snake其实就是同一类型的相似程序。

        正是在此研究期间,卡巴斯基实验室的专家发现,这个极其复杂的多功能软件Turla与Agent.btz之间存在一些关联。迄今为止,一系列最复杂的网络间谍工具(包括红色十月、Turla 和火焰/高斯)似乎都是在蠕虫病毒Agent.btz的启发下创建的。

        *红色十月的开发者就对Agent.btz的功能了然于心。他们在2010至2011年创建的USB盗窃组件会去查找到这一蠕虫的数据容器(名为mssysmgr.ocx和thumb.dd的文件)。而数据容器含有被入侵系统和活动日志的相关信息。如果插入的U盘中包含这些数据容器,红色十月的USB盗窃组件就会将其偷走通过已连接的USB驱动就能窃取这些信息。

        *Turla日志会生成与Agent.btz相同的文件名(mswmpdat.tlb、winview.ocx和wmcache.nld)并保存在被入侵的系统中。Turla还使用了和Agent.btz如出一辙的XOR密匙为其日志文件加密。

        *火焰/高斯(Flame/Gauss)则采取了同样的命名惯例,如ocx文件和thumb*.db,并且也使用U盘作为窃取数据的容器。

属性之疑

        就上述事实而言,显然易见的一点是,这四个网络间谍软件的开发者都非常细致地研究过Agent.btz,从而了解它的原理和所使用的文件名,并且以这些信息为蓝本开发出具有相同目标的恶意软件。但是,是否这就可以说明,这些网络间谍工具的开发者之间存在直接关联吗?

        “仅仅基于这些事实还无法得出这一结论”,卡巴斯基实验室首席安全专家Aleks Gostev认为。“开发者所使用的信息在红色十月和火焰/高斯诞生之时就已广为人知。而Agent.btz将thumb.dd作为容器文件,从被入侵系统中搜集信息,这并非秘密。另外,Turla和Agent.btz开发者运用XOR密匙对其日志文件进行加密的事情,也曾于2008被公开披露过。我们还没有弄清这种密匙被首次运用于Turla的时间。但是,我们无疑能够从2013至2014年开发的最新恶意样本中找到答案。与此同时,现在也有一些证据指向Turla的开发始于2006年——在所有已知的Agent.btz样本之前;这为我们留下了一个疑问。

Agent.btz——未完待续?

        Agent.btz蠕虫有大量变种。我们的产品目前对多数变种命名为Worm.Win32.Orbina的大致判定,检测出Agent.btz的所有变形。由于Agent.btz蠕虫通过U盘进行传播,这使得它在全球范围内造成了大面积感染。从卡巴斯基实验室的数据来看,2013年我们在100个国家的13800个系统中发现了Agnet.btz。由此,我们得出一个结论,在世界范围内可能有数万的U盘被Agent.btz的感染,这些U盘中含有名为thumb.dd的文件,文件中包含有被入侵系统的相关信息的文件。

        欲知详情,请访问Securelist.com