Investigaciones sobre Turla, una potente operación de ciberespionaje
(Internacional) Expertos de Kaspersky, G-Data y BAE Systems publicaron un destacado información sobre la operación cibercriminal Turla. Conocida como Serpiente o Uroburos, esta maniobra maliciosa posee una conexión inesperada con las piezas del malware conocido como Agent.BTZ.
En 2008, la vulnerabilidad infectó las redes locales del Centro de Comando de los Estados Unidos en el Medio Oriente, un incidente que en ese entonces se denominó ‘el peor incidente de seguridad a computadoras militares estadounidenses en la historia’.
Ante el hecho, Kaspersky Lab obtuvo conocimiento inicial de la campaña de ciberespionaje Turla en marzo de 2013. Cuando los expertos de la compañía estaban investigando un incidente con un rootkit altamente sofisticado, originalmente conocido como el ‘Sun rootki’, basado en el nombre de un archivo utilizado como un sistema virtual ‘sunstore.dmp’, descubrieron que el ‘Sun rootkit’ y la Serpiente son una y la misma cosa.
También, la firma encontró algunas conexiones interesantes entre Turla, un programa muy sofisticado, multifuncional, y Agent.btz. El gusano Agent.btz parece haber sido la inspiración para la creación de una amplia gama de las más sofisticadas herramientas de ciberespionaje hasta la fecha, incluyendo Octubre Rojo, Turla y Flame/Gauss.
“No es posible establecer una conclusión solo en estos hechos. La información utilizada por los desarrolladores era conocida públicamente en el momento de Octubre Rojo y la creación de Flame/Gauss. No es ningún secreto que el Agent.btz utiliza ‘thumb.dd’ como un archivo contenedor para recopilar información de los sistemas infectados y, además, la clave XOR utilizado por los desarrolladores de Turla y Agent.btz para cifrar sus archivos de registro se publicó también en 2008. No sabemos cuándo se utilizó esta clave por primera vez en Turla, pero podemos verlo en las últimas muestras de malware que se crearon alrededor de 2013 al 2014”, aseguró Aleks Gostev, Jefe Experto de Seguridad de Kaspersky Lab.
