Forskare hittar livstecken från 20 år gamla cyberattacker

Forskare vid Kaspersky Lab och Kings College London har hittat en koppling mellan cyberhotsaktören Moonlight Maze, som utförde attacker mot amerikanska mål som Pentagon och NASA för 20 år sedan, och den moderna cyberhotsaktören Turla.


En bakdörr som Moonlight Maze använde 1998 för att hämta information från offrens nätverk har visats ha kopplingar till en bakdörr som användes av Turla 2011, men kanske även så sent som i år.

1996 upptäcktes att amerikanska militären och regeringen, samt universitet, forskningsinstitutioner och till och med energidepartementet i USA, hade utsatts för nätverksintrång. Två år senare inleddes en grundlig undersökning som utfördes av FBI och USA:s försvarsdepartement. Attackerna blev kända för allmänheten 1999 men då större delen av bevisen från undersökningen har hållits hemliga har detaljerna om Moonlight Maze varit få.

 Oberoende utredare i tre länder har under åren hävdat att Moonlight Maze vidareutvecklades till Turla, en rysktalande cyberhotsaktör även känd under namnen Snake, Uroburos, Venomous Bear och Krypton. Turla tros ha varit aktiv sedan 2007.

När Thomas Rid vid Kings College London under 2016 gjorde research till sin bok Rise of the Machines hittade han en före detta systemadministratör vars organisations server hade kapats och använts som proxyserver i Moonlight Maze-attacker . Den nu pensionerade systemadministratören hade behållit den ursprungliga servern och kopior av allt som hade med attackerna att göra och gav dessa till Kings College och Kaspersky Lab för analys.

Under nio månader genomförde forskare från Kaspersky Lab och Kings College en grundlig teknisk analys av materialet. De rekonstruerade attackerna, verktygen och teknikerna samt genomförde parallella utredningar för att se om de kunde bevisa sambandet med Turla.

Moonlight Maze-attackerna var open source-baserade och riktade sig mot Solaris-system. Analysen visade att man hade använt en bakdörr i LOKI2, ett program lanserat 1996 som gjorde det möjligt att extrahera data genom gömda kanaler. Det fick forskarna att titta närmare på några sällsynta Linux-varianter som används av Turla och som Kaspersky Lab hade hittat 2014. Dessa varianter, med namnet Penguin Turla, är också baserade på LOKI2.

Märkligt nog används koden fortfarande i attacker, bland annat i en attack 2011 mot schweiziska försvarsleverantören Ruag. En attack som har tillskrivits Turla. Så sent som i mars 2017 upptäckte forskare hos Kaspersky Lab en ny variant av Penguin Turla-bakdörren i ett system i Tyskland. Det är möjligt att Turla använder den gamla koden för attacker mot mål med mycket hög säkerhet som kan vara svårare att ta sig in i med de vanligare Windows-baserade verktygen.

– I slutet av 90-talet var det ingen som förutsåg räckvidden och uthålligheten hos en koordinerad cyberspionageattack, säger Juan Andres Guerrero-Saade, säkerhetsforskare på Kaspersky Lab och en av de som har arbetat med utredningen. Vi måste fråga oss själva hur angriparna fortfarande lyckas använda gammal kod i moderna attacker. Analysen av Moonlight Maze är inte bara ett fascinerande arkeologiskt forskningsarbete, utan påminner oss samtidigt om att motståndare med stora resurser inte bara försvinner. Det är upp till oss att försvara systemen matchande kompetens.