نشر خبراء G-Data وBAE Systems مؤخرا معلومات حول عملية التجسس المتواصلة يشار إليها باسم Turla (وباسمي Snake أو Uroburos). ووجد فريق البحث والتحليل بكاسبرسكي لاب صلة غير متوقعة بين Turla وجزء من البرمجية الخبيثة المعروفة باسم Agent.BTZ.
ففي عام 2008 قام Agent.BTZ بإصابة الشبكات المحلية في القيادة المركزية للولايات المتحدة في الشرق الأوسط وقد اعتبر هذا الاختراق في ذلك الوقت “الاختراق الأسوأ للحواسيب العسكرية الأمريكية في التاريخ”. وقد استغرقت عملية إزالة Agent.BTZ بالكامل من الشبكات العسكرية 14 أشهر أجراها خبراء البنتاغون، وكان ذلك دافعا لإنشاء قيادة الكترونية أمريكية. ويتمتع البرنامج الدودي، الذي يعتقد أنه أنشئ في عام 2007، بالقدرة على مسح الحواسيب بحثا عن المعلومات الهامة وإرسال البيانات إلى خادم الأوامر والمراقبة بعيد.
السبب الذي دفع إلى ابتكاره
اكتشفت كاسبرسكي لاب لأول مرة حملة Turla للتجسس الالكتروني في مارس 2013، في الوقت الذي كان خبراء الشركة يقومون بتحري حادث يتعلق ببرمجية الجذور الخفية عالية التعقيد. وكان هذا البرنامج يعرف بـSun rootkit انطلاقا من اسم الملف “sunstore.dmp” والمتاح أيضا باسمين آخرين “\\.\Sundrive1″ و”\\.\Sundrive2”. في الواقع كل من Sun rootkit وSnake اسمان لذات البرمجية.
خلال ذلك البحث وجد خبراء كاسبرسكي لاب بعض الوصلات المثيرة بين Turla، البرنامج المعقد والمتعدد الوظائف، وAgent.BTZ. ويبدو أن البرنامج الدودي Agent.BTZ كان الدافع وراء إنشاء نطاق واسع من الأدوات التجسسية الأكثر تعقيدا حتى الآن بما فيها Red October، Turla وFlame/Gauss:
● مطورو Red October كانوا يعلمون بوظيفة Agent.BTZ كون وحدة USB Stealer (انشئت في 2010-2011( تبحث عن حاويات البيانات الخاصة بالبرنامج الدودي (“mssysmgr.ocx”، “thumb.dd”) التي تحمل بيانات حول الانظمة المصابة ونشاطات الدخول إلى النظام، ثم تسرقها من مشغلات وسائط التخزين النقالة المتصلة.
● ويستخدم برنامج Turla أسماء الملفات تسجيل الدخول نفسها (“mswmpdat.tlb”، “winview.ocx”، “wmcache.nld”) خلال بقائها في النظام المصاب وذات المفتاح XOR لتشفير ملفات الدخول مثل Agent.BTZ.
● ويستخدم Flame/Gauss قواعد تسمية مماثلة على غرار ملفات “*.ocx ” و” thumb*.db”. كما أنها تستخدم مشغل USB كحاوية للبيانات المسروقة.
تساؤل حول الصفات
أخذاً بعين الاعتبار كل هذه الحقائق، من الواضح أن مطوري حملات التجسس الالكتروني قاموا بدراسة Agent.BTZ بالتفصيل لتفهم كيفية عملها، أسماء الملفات التي تستخدمها واستخدموا هذه المعلومات كنموذج لتطوير البرمجيات الخبيثة والتي لها أهداف مماثلة. ألا يعني ذلك أن هناك صلة مباشرة بين مطوري هذه الأدوات التجسسية؟
وقال ألكسي غوستيف، كبير الخبراء الأمنيين بكاسبرسكي لاب: “ليس بالإمكان الجزم بذلك انطلاقا من الحقائق المذكورة فقط. البيانات المستخدمة من قبل المطورين كانت معروفة في وقت شن حملات Red October وFlame/Gauss. لا شك في أن Agent.BTZ استخدم ” thumb.dd” كملف حاوي لجمع المعلومات من الأنظمة المصابة بالإضافة إلى ذلك كان مفتاح XOR المستخدم من قبل مطوري Turla وAgent.BTZ لتشفير ملفات تسجيل الدخول قد نشر أيضا في 2008. نحن لا نعلم متى استخدم هذا المفتاح لأول مرة في Turla، إلا أننا نجده في النماذج الأخيرة للبرمجيات الخبيثة التي ابتكرت في 2013-2014. وفي الوقت نفسه هناك بعض الأدلة التي تشير إلى أن تطوير Turla بدأ في 2006 قبل أن يعرف أحد بـAgent.BTZ وهذا يُبقي السؤال مفتوحا”.
Agent.BTZ –
هناك نماذج معدلة كثيرة من البرنامج الدودي Agent.BTZ. اليوم بإمكان منتجات كاسبرسكي لاب أن تكتشف هذا البرنامج بجميع أشكاله في إطار الاسم الأساسي Worm.Win32.Orbina. وقد انتشر هذا البرنامج في مختلف أنحاء العالم بفضل أسلوب التناسخ (عبر وسائط التخزين النقالة). من خلال البيانات المتوفرة لدى كاسبرسكي لاب يمكننا رؤية أن Agent.BTZ اكتشف في عام 2013 في 13800 نظام في 100 بلد. وهذا يشير إلى أن هناك عشرات الآلاف من وسائط التخزين النقالة في العالم المصابة ببرنامج Agent.BTZ وتحتوي على ملف “thumb.dd ” الذي يشتمل على معلومات حول الأنظمة المصابة.
