Turla y el peor incidente de seguridad militar de EEUU están relacionados
Kaspersky nos envía la información sobre uno de sus recientes descubrimientos: la relación que existe entre el arma de ciberespionaje Turla, también conocida como Serpiente, y el gusano Agent.BTZ, causante del peor incidente de seguridad militar de Estados Unidos.
Jorge Verastegui / 13.03.2014 / 11:33 am
En el año 2008, el gusano Agent.BTZ infectó las redes locales del Centro de Comando de Estados Unidos en el Medio Oriente, hecho que fuera conocido después como el 'peor incidente de seguridad a computadoras militares estadounidenses en la historia'.
Y ahora, el equipo de Kaspersky Lab vuelve a traer a la memoria al gusano Agent.BTZ, por la relación que este tendría con Turla, un arma de ciberespionaje actual, así como con Octubre Rojo (del año 2013) y Flame/Gauss (del años 2012).
Turla, también conocido como Serpiente, fue conocido por Kaspersky Lab en marzo de 2013, cuando los expertos de la compañía investigaban un incidente con un rootkit muy sofisticado, llamado 'Sun rootkit', por un archivo utilizado como un sistema de archivos virtual 'sunstore.dmp'. Al final, los expertos de Kaspersky Lab coincidieron que Turla y el Sun rootkit son la misma cosa.
Y en medio de sus averiguaciones, el equipo de Kaspersky Lab halló conexiones interesantes entre Turla y el Agent.BTZ, que llevaron a la idea de que el gusano había sido la fuente de inspiración de Turla.
'No es posible establecer una conclusión solo en estos hechos', comenta Aleks Gostev, jefe experto de Seguridad de Kaspersky Lab. 'La información utilizada por los desarrolladores era conocida públicamente en el momento de Octubre Rojo y la creación de Flame/Gauss. No es ningún secreto que el Agent.btz utiliza 'thumb.dd' como un archivo contenedor para recopilar información de los sistemas infectados y, además, la clave XOR, utilizada por los desarrolladores de Turla y Agent.btz para cifrar sus archivos de registro, se publicó también en 2008. No sabemos cuándo se utilizó esta clave por primera vez en Turla, pero podemos verla en las últimas muestras de malware que se crearon alrededor de 2013 al 2014. Al mismo tiempo, hay cierta evidencia que apunta hacia el desarrollo inicial de Turla en el 2006, antes de cualquier muestra conocida del Agent.btz'.
Finalmente, Kaspersky Lab indica que sus productos son capaces de detectar todas las formas de Turla, y que en los datos registrados por Kaspersky en el año 2013, se descubrió al Agent.BTZ en 13.800 sistemas, repartidos en 100 países.
TECNOLOGÍA 21
Medio especializado en publicaciones tecnológicas con enfoque en negocios desde 2007.
Nuestro alcance principal comprende Iberoamérica.