האם יש יד מכוונת אחת, המפתחת את הנוזקות ההרסניות בעולם?

לפני ימים אחדים דווח כי נשק קיברנטי ואגרסיבי, המכונה נחש, תוקף את רשתות המחשבים של אוקראינה. על פי דו"ח שהנפיקה BAE Systems (הגלגול של חברות British Aerospace ו-Marconi Electronics) הבריטית, השימוש בנוזקה החדשה החל כבר בתחילת השנה, עוד לפני הפגנות שהובילו להדחתו של הנשיא ויקטור ינוקוביץ'.

צוות המחקר והניתוח של קספרסקי (Kaspersky Lab) חשף קשר בלתי צפוי בין הנוזקה החדשה, לבין קוד זדוני הנקרא Agent.BTZ.

בשנת 2008, Agent.BTZ פגע ברשתות מיחשוב מקומיות של הפיקוד המרכזי של צבא ארצות הברית במזרח התיכון, והוגדר כ"פריצה החמורה ביותר בתולדות המיחשוב של הצבא האמריקני". למומחים של הפנטגון לקח 14 חודשים כדי להסיר לחלוטין את Agent.BTZ  מהרשת הצבאית, והתקרית הביאה להקמת מפקדת הסייבר של ארצות הברית. התולעת, שנוצרה על פי הערכות ב-2007, החזיקה ביכולת לסרוק אחר מידע רגיש במחשבים ולשלוח אותו לשרתי פיקוד ושליטה מרוחקים.

על פי הדו"ח של BAE, הקומפוזיציה המורכבת של הנוזקה הנוכחית, נחש, הידועה גם כ-טורלה (Turla), מתאפיינת בקווי דמיון עם זו של סטוקסנט (Stuxnet), סדרת נוזקות שפעלה במחצית הראשונה של העשור הקודם, התגלתה ב-2010, ואשר הביאה לפגיעה בתשתיות הייצור של מפעלי הנשק האטומי באירן. הנוזקה כונתה גם אורובורוס, נחש או דרקון קדום מהמיתולוגיה היוונית, אשר בולע בפיו את זנבו ומסמל תוהו ובהו. על פי הדו"ח, הנוזקה מאפשרת לתוקפים ששיגרו אותה גישה מלאה למערכות ה-IT אליהן היא חדרה. הנוזקה, כך נמסר, יכולה להישאר פעילה משך כמה ימים, ובמקביל – היא קשה לזיהוי.

חוקרי קספרסקי נחשפו לראשונה לקמפיין ריגול הסייבר טורלה החודש, כאשר הם חקרו אירוע הקשור ברוטקיט (rootkit) מתוחכם מאוד. במקור הוא נודע כ"רוטקיט שמש", בגלל שם קובץ ששימש עבור הרוטקיט כמערכת קבצים וירטואלית sunstore.dmp (הוא גם היה נגיש כ- \\.\Sundrive1 ו- \\.\Sundrive2). רוטקיט השמש וטורלה הם למעשה שניים מאותו מין, על פי חוקרי ענקית האבטחה הרוסית.

במהלך המחקר זיהו מומחי קספרסקי קשרים מעניינים בין טורלה, תוכנה מתוחכמת מאוד ומרובת פונקציות, לבין Agent.BTZ. נראה כאילו Agent.BTZ היוותה את ההשראה ליצירת טווח שלם של כלי ריגול סייבר מהמתוחכמים ביותר הידועים כיום, כולל אוקטובר האדום, טורלה ופליים/גאוס.

מפתחי אוקטובר האדום ידעו בבירור אודות היכולות של Agent.BTZ כשפיתחו את מודול ה- USB Stealer. זה נוצר בשנים 2010-2011, והוא מחפש אחר קבצים שמכילים את נתוני התולעת (mssysmgr.ocx ו-thumb.dd), כולל מידע אודות מערכות נגועות ולוגים של פעילות, ואז גונב אותם מכונן ה-USB המחובר.

טורלה משתמשת באותם שמות קבצי הלוגים שלה (mswmpdat.tlb, winview.ocx ו-wmcach.nld), בעת שהיא מאוחסנת במערכת הנגועה. היא גם משתמשת באותו מפתח הצפנה, XOR – עבור קבצי הלוגים, כפי שעושה Agent.BTZ. פליים/גאוס משתמשים באותו מבנה שמות, כגון קבצי ocx או thumb.db. הם גם משתמשים בכונן USB כאחסון עבור המידע הגנוב.

על פי חוקרי קספרסקי, "בהתחשב בעובדות האלו, ברור כי מפתחים של ארבעת הקמפיינים השונים למדו לעומק את Agent.BTZ. הם ניסו להבין כיצד הוא עובד ואת שמות הקבצים שלו, והשתמשו במידע כמודל לפיתוח תוכנות קוד זדוני, שלכולן יעדים דומים". אולם אז עולה השאלה, מה משמעות הקו הישיר המחבר בין המפתחים של כלי ריגול אלה?

"לא אפשרי להסיק מסקנות נחרצות בהתבסס על עובדות אלו לבדן", אמר אלכס גוסטב, מומחה אבטחת מידע ראשי בקספרסקי, "המידע ששימש את המפתחים היה נגיש לציבור בזמן יציאת אוקטובר האדום ופליים/גאוס. אין זה סוד כי Agent.BTZ עשה שימוש ב- thumb.dd כקובץ אחסון לאיסוף המידע המגיע מהמערכות הנגועות. בנוסף, מפתח ה-XOR בו השתמשו מפתחי הטורלה וה- Agent.BTZ כדי להצפין את הלוגים שלהם – פורסם בשנת 2008". לדבריו, "אנו לא יודעים מתי מפתח הצפנה זה נכנס לשימוש ראשון בטורלה, אבל אנו יכולים לראותו בבירור בדוגמיות אחרונות של הקוד הזדוני שנוצרו בשנים 2013-2014". במקביל, ציין גוסטב, "ישנה עדות כלשהי המצביעה על תחילת הפיתוח של טורלה בשנת 2006 – לפני החשיפה הראשונה של Agen.BTZ, דבר המשאיר אותנו עם שאלות פתוחות".

מענקית האבטחה הרוסית נמסר כי במהלך השנים נוצרו מספר גרסאות של תולעת ה- Agent.BTZ. "כיום, מוצרי קספרסקי מזהים את כל מודיפיקציות התולעת תחת הסימול המרכזי Worm.Win32.Orbina. הודות לשיטת השכפול שלה (דרך כונן USB נייד) היא הגיעה לתפוצה בינלאומית. ב-2013 התולעת זוהתה ב-13,800 מערכות במאה מדינות. הדבר מוביל למסקנה כי קיימים כנראה עשרות אלפי כונני USB בעולם הנגועים ב- Agent.BTZ".