Faksimile av The Sunday Times som hadde et stort oppslag om Moonlight Maze-operasjonen den 25. juli 1999.
Faksimile av The Sunday Times som hadde et stort oppslag om Moonlight Maze-operasjonen den 25. juli 1999. (Bilde: Kaspersky Lab)

Moonlight Maze

Aktiv trusselgruppe knyttes til spionvare som skapte sjokkbølger på 1990-tallet

Samme bakdør benyttes fortsatt.

Sikkerhetsforskere ved Kings College London og Kaspersky Lab har gjennom en omfattende studie greid å knytte den russisktalende trusselaktøren som selskapet kaller for Turla, til flere kyberinnbrudd som rammet amerikanske myndigheter på slutten av 1990-tallet. 

Dette gjør at Turla kan være blant de eldste, aktive trusselaktørene, riktignok bak Equation Group som skal ha blitt knyttet til kommando- og kontrollservere etablert i 1996. 

Moonlight Maze

I 1999 ble det kjent at FBI og Pentagon hadde startet en omfattende etterforskning av innbrudd i blant annet et datasystem hos forsvarsdepartementet hvor det ble lagret gradert kode for marinen og informasjon om systemer for missilstyring. Også NASA og andre skal ha blitt rammet av disse innbruddene, som ble kalt for Moonlight Maze. 

Det forskerne har oppdaget, ved å studere eksempelkode, logger og andre spor etter de snart 20 år gamle angrepene, er informasjon som knytter en bakdør som Moonlight Maze benyttet i 1998, til en bakdør som Turla benyttet i 2011 og muligens fortsatt benytter. 

Les også: Kyberspioner med felles opphav

Tok vare på alt

De gamle sporene fikk Thomas Rid ved Kings College London tak i ved å spore opp en tidligere systemadministrator. Hos hans tidligere arbeidsgiver, et britisk selskap, var en server blitt kapret av Moonlight Maze i 1998 og brukt som en proxy i angrep rettet mot USA. Dette ble oppdaget, og i samarbeid med FBI og britisk politi, sørget systemadministratoren for å logge og lagre alt det angriperne foretok seg på maskinen i en periode på seks måneder.

Systemadministratoren har i alle årene som har gått, tatt vare på både serveren og kopier av alle data relatert til angrepene. Dette inkluderer 45 ulike, kjørbare programmer for Unix-systemene Solaris og IRIX, samt ni skriptfiler.

Ifølge Kaspersky Lab var det særlig Solaris-systemer fra Sun Microsystems ble som ble angrepet av Moonlight Maze. Det har nå vist seg at de brukte en bakdør basert på LOKI2, et program utgitt i 1996 som gjør det mulig for brukere å hente ut data via skjulte kanaler. 

Den moderne utgaven

I 2014 kom Kaspersky Lab over noen uvanlige eksempler på Linux-angrepskode som Turla har benyttet. Disse kalles for Penguin Turla og er også basert på LOKI2. 

Ved å studere disse angrepsverktøyene på nytt, fant man ut at kode må ha blitt lagt en gang mellom 1999 og 2004. Men så sent som i mars i år skal Kaspersky Lab ha mottatt et eksemplar av Penguin Turla som skal ha blitt funnet på et system i Tyskland. 

– På slutten av 1990-tallet var det ingen som forutså rekkevidden og vedholdenheten til koordinerte kyberspionasjekampanjer. Vi må spørre oss selv om hvorfor det er slik at angripere fortsatt lykkes med å utnytte eldgammel kode i moderne angrep. Analysen av Moonlight Maze-prøvene er ikke bare en fascinerende, arkeologisk studie. Det er også en påminnelse om at ressurssterke motstandere ikke forsvinner, sier Juan Andres Guerrero-Saade i en pressemelding. Han er den ene av sikkerhetsforskerne hos Kaspersky Lab som har deltatt i studien.

Kaspersky Lab har publisert mer informasjon om studien på denne siden.

Mer om Turla: IT-spioner skjuler seg bak sporløse satellittforbindelser

Kommentarer (7)

Kommentarer (7)
Til toppen