Агент.БТЗ
| Агент.btz | |
|---|---|
| Техническое название | |
| Тип | Червь |
| Авторы | Неизвестный |
Agent.BTZ , также называемый Autorun , [ 1 ] [ 2 ] компьютерный червь , заражающий USB-накопители шпионским ПО . Вариант червя SillyFDC . [ 3 ] он использовался во время масштабной кибератаки на армию США в 2008 году , заразив 300 000 компьютеров.
Техническое описание
[ редактировать ]Червь Agent.BTZ представляет собой DLL-файл , написанный на ассемблере (x86-32 бит). [ 4 ] Он распространяется путем создания файла AUTORUN.INF в корне каждого диска с файлом DLL. [ 5 ] Он имеет возможность «сканировать компьютеры на наличие данных, открывать бэкдоры и отправлять через эти бэкдоры на удаленный сервер управления и контроля ». [ 3 ]
История
[ редактировать ]В 2008 году на военной базе США на Ближнем Востоке USB-накопитель, зараженный Agent.BTZ, был вставлен в ноутбук, прикрепленный к Центральному командованию США . Оттуда он незамеченным распространился на другие системы, как засекреченные, так и несекретные. [ 6 ] Чтобы попытаться остановить распространение червя, Пентагон запретил USB-накопители и съемные носители. Они также отключили функцию автозапуска Windows на своих компьютерах. [ 3 ] Пентагон потратил почти 14 месяцев на очистку военных сетей от вируса. [ 3 ]
Атрибуция
[ редактировать ]Предполагалось, что за атакой стоят китайские хакеры, поскольку они использовали тот же код, который использовался в Agent.BTZ в предыдущих атаках. [ 7 ] Согласно статье в журнале The Economist , «неясно, был ли агент Agent.btz разработан специально для нападения на военные сети, и действительно ли он исходит из России или Китая». [ 8 ] В статье газеты Los Angeles Times сообщалось, что представители министерства обороны США описали вредоносное программное обеспечение как «очевидно, разработанное специально для атак на военные сети». «Считается, что она исходит изнутри России», хотя неясно, «была ли разрушительная программа создана отдельным хакером или к этому могло быть причастно российское правительство». [ 9 ]
В 2010 году американский журналист Ной Шахтман написал статью, в которой расследовал теорию о том, что червь был написан одним хакером. [ 3 ] Более поздние анализы, проведенные «Лабораторией Касперского», обнаружили связь с другими шпионскими программами, включая Red October , Turla и Flame . [ 10 ]
В декабре 2016 года ФБР США и DHS опубликовали совместный аналитический отчет, в котором говорилось, что Agent.BTZ принадлежит одной или нескольким «Российским службам гражданской и военной разведки (RIS)». [ 11 ]
Ссылки
[ редактировать ]- ^ Шевченко, Сергей (30 ноября 2008 г.). «Agent.btz — угроза, поразившая Пентагон» . Блог ThreatExpert . Проверено 14 декабря 2016 г.
- ^ «W32/Autorun.worm.dw — Вредоносное ПО» . Центр угроз McAfee Labs . 21 ноября 2008 года . Проверено 14 декабря 2016 г.
- ^ Jump up to: а б с д и Шахтман, Ной (25 августа 2010 г.). «Инсайдеры сомневаются, что взлом Пентагона в 2008 году был атакой иностранных шпионов» . Проводной . Проверено 14 декабря 2016 г.
- ^ «Агент.BTZ — Информация о вирусе» . Панда Безопасность . Проверено 14 декабря 2016 г.
- ^ "Описание Worm:W32/Agent.BTZ" . F-Secure Labs . Проверено 14 декабря 2016 г.
- ^ Уильям Дж. Линн III . «Защита нового домена» . Иностранные дела . Проверено 25 августа 2010 г.
- ^ Лейден, Джон (20 ноября 2008 г.). «Армия США запрещает USB-устройствам содержать червей» . Регистр . Проверено 14 декабря 2016 г.
- ^ «Червяк поворачивается» . Экономист . 4 декабря 2008 года . Проверено 14 декабря 2016 г.
- ^ Барнс, Джулиан Э. (28 ноября 2008 г.). «Компьютерные сети Пентагона подверглись атаке» . Лос-Анджелес Таймс . Проверено 14 декабря 2016 г.
- ^ Гостев, Александр (12 марта 2014 г.). «Agent.btz: источник вдохновения?» . Список безопасности . Проверено 19 мая 2020 г.
- ^ «ГРИЗЛИ СТЕПЬ – Злонамеренная российская кибердеятельность» (PDF) . СЕРТ США . Проверено 2 марта 2017 г.