En 2013, Agent.btz había infectado 13.800 sistemas en 100 países y España ha sido uno de los más afectados
Los expertos de G-Data y BAE Systems publicaron recientemente información sobre una operación de espionaje cibernético cuyo nombre en código es Turla (también conocida como Snake o Uroburos). Ahora, el equipo de investigación y análisis de Kaspersky Lab ha descubierto una conexión inesperada entre Turla y el malware Agent.BTZ.
En 2008, Agent.BTZ infectó la red local del Comando Central de los Estados Unidos en Oriente Medio, provocando lo que en ese momento se llamó el «peor ataque a los ordenadores militares de Estados Unidos de la historia». A los especialistas del Pentágono les costó unos 14 meses eliminar completamente la infección de Agent.BTZ de la red militar. Esta mala experiencia derivó en la creación del Comando Cibernético de EE.UU. Este gusano, que parece que fue creado alrededor de 2007, tiene la capacidad de obtener información sensible de las víctimas y enviar datos a un servidor de comando y control remoto.
Fuente de inspiración
Kaspersky Lab conoce la campaña de espionaje cibernético Turla desde marzo de 2013, cuando los expertos de la compañía estaban investigando un incidente con un rootkit altamente sofisticado. Originalmente conocido como el » Rootkit Sun», basado en un nombre de archivo utilizado como un sistema de archivos virtual «sunstore.dmp», también accesible como «\ \. \ Sundrive1 » y «\ \. \ Sundrive2». Este rootkit y Snake son la misma amenaza.
[smartads]
Fue durante esta investigación que los expertos de Kaspersky Lab han encontrado algunos enlaces interesantes entre Turla, una campaña muy sofisticada, y Agent.btz .
En concreto, Turla trataba activamente robar datos de uno de los archivos (thumb.dd) en los que Agent.btz guardaba datos y logs de su actividad en dispositivos USB. ¿Podría ser esto significar que existe una conexión entre ambos grupos?
Más bien parece que dado el éxito de Agent.btz y su presencia (todavía a día de hoy) en miles de dispositivos USB, los atacantes podrían aprovechar dicha circunstancia para aprovecharse de dicha campaña y robar parte de los datos robados por la misma.
En este sentido la respuesta parece indicar que Agent.btz parece haber servido “de inspiración” para el robo de datos en una amplia gama de las herramientas de espionaje cibernético más sofisticados hasta la fecha , incluyendo el Octubre Rojo, Turla y Flame/Gauss.
- Los desarrolladores de Octubre Rojo conocían la funcionalidad Agent.btz’s, así como su módulo USB Stealer (creado en 2010-2011) de búsqueda de contenedores de datos del gusano (archivos «thumb.dd» «mssysmgr.ocx»), que contiene información acerca de los sistemas infectados y registros de actividad tras robar de las unidades USB conectadas.
- Turla utiliza los mismos nombres de archivo para sus registros («mswmpdat.tlb», «winview.ocx» y «wmcache.nld»), mientras que se almacena en el sistema infectado, y la misma clave para el cifrado XOR sus archivos de registro como Agent.btz.
- Flame/Gauss utiliza nombres similares, como «Ocx» Archivos y «thumb*.db». Además, utilizan la unidad USB como un contenedor para los datos robados.
Una cuestión de atribución
Teniendo en cuenta estos hechos, es evidente que los desarrolladores de las cuatro campañas de espionaje cibernético estudiaron Agent.btz en detalle para entender cómo funciona, los nombres de archivo que utiliza, y utilizaron esta información como un modelo para el desarrollo de los programas de malware ya que todos que tenían objetivos similares. Pero ¿significa esto que no existe un vínculo directo entre los desarrolladores de estas herramientas de espionaje cibernético?
«No es posible establecer una conclusión sobre la base de estos hechos por sí solos», – dice Aleks Gostev, experto jefe de Kaspersky Lab. «La información utilizada por los desarrolladores era conocida públicamente en el momento de creación de Octubre Rojo y Flame/Gauss. No es ningún secreto que Agent.btz utiliza «thumb.dd» como un archivo contenedor para recoger información de los sistemas infectados y además, la clave XOR utilizada por los desarrolladores de Turla y Agent.btz para cifrar sus archivos de registro se publicó también en 2008. No sabemos cuándo se utilizó por primera vez en la clave Turla, pero podemos verlo en las últimas muestras de malware que se crearon en torno a 2013-2014. Al mismo tiempo, hay una cierta evidencia que apunta hacia el desarrollo inicial de Turla en 2006 – antes de que cualquier muestra conocida de Agent.btz, lo que deja la cuestión abierta».
Agent.btz – ¿continuará?
Ha habido numerosas modificaciones del gusano Agent.btz. Hoy en día, los productos de Kaspersky Lab detectan todas sus formas. Debido a su método de replicación (a través de unidades USB), se ha extendido por todo el mundo. Según datos de Kaspersky Lab, en 2013 el Agent.btz había sido detectado en 13.800 sistemas en 100 países y España ha sido uno de los más afectados. Esto nos lleva a concluir que hay probablemente decenas de miles de unidades USB en todo el mundo infectadas con Agent.btz, que contiene el archivo «thumb.dd» con información sobre los sistemas infectados.