Эксперты «Лаборатории Касперского» и исследователи из университета King’s College London начали изучать возможную связь между серией кибератак на правительственные ресурсы США в конце 1990-х и современными кампаниями кибершпионажа. Расследуя подробности атак Moonlight Maze, от которых пострадали Пентагон, NASA и Министерство энергетики США, аналитики нашли ряд образцов вредоносного ПО и другие артефакты 20-летней давности. Дальнейший анализ показал, что программа-бэкдор, использовавшаяся в этой операции, имеет много общего с бэкдором, задействованным во вредоносной кампании Turla в 2011 году и повторно обнаруженным в марте 2017 года. Если связь между группами Moonlight Maze и Turla удастся доказать, то окажется, что последняя — почти такой же долгожитель, как и нашумевшая группа Equation, чью активность удалось отследить до 1996 года.

В 1998 году ФБР и Министерство обороны США взялись расследовать взломы в сетях правительственных и военных организаций страны, а также в ряде университетов и исследовательских институтов. Общественность узнала об атаках Moonlight Maze только год спустя — в 1999-м, однако детали расследования на тот момент так и остались засекречены. Спустя годы исследователи из трех разных стран независимо друг от друга пришли к выводу, что группировка Moonlight Maze трансформировалась в Turla, за которой предположительно стоят русскоязычные организаторы. До недавнего времени считалось, что Turla (также известная как Snake, Uroburos, Venomous Bear и Krypton) начала свою деятельность в 2007 году.

Работая над своей книгой «Rise of the Machines», Томас Рид (Thomas Rid) из университета King’s College London в 2016 году связался с бывшим системным администратором, который работал в той самой организации, чьи серверы были взломаны и превращены в прокси-сервер Moonlight Maze. Вышедший на пенсию IT-специалист сохранил сам сервер и копии всех артефактов, имевших отношение к атакам 1998 года. Все материалы он передал исследователям из King’s College London и экспертам «Лаборатории Касперского». За девять месяцев работы аналитики смогли реконструировать операции Moonlight Maze, их инструменты и техники, а также попытались найти подтверждение связи этой группировки с Turla.

В своих атаках на сети и компьютеры под управлением ОС Solaris группировка Moonlight Maze использовала инструменты, построенные на открытом ПО (Unix). Для проникновения в системы своих жертв атакующие использовали бэкдор на базе LOKI2 — программы, выпущенной в 1996 году и предназначенной для извлечения данных через скрытые каналы. Эта находка заставила аналитиков повторно разобрать редкие образцы вредоносного ПО Turla под Linux, которые были обнаружены в 2014 году. Как выяснилось, эти зловреды также были созданы на базе LOKI2. Более того, в них использовался код, написанный в период между 1999 и 2004 гг.

Примечательно, что этот старый код до сих пор используется в атаках, которые приписывают Turla. В 2011 году он был замечен во вредоносной операции, нацеленной на швейцарского военного подрядчика Ruag. А в марте 2017 года образец бэкдора, содержащего этот код, был извлечен из сети предприятия в Германии. Возможно, группировка Turla использует старый код под Linux в атаках на особо важные и хорошо защищенные цели, поскольку таким образом им легче проникнуть в сеть, чем в случае применения стандартного инструментария под Windows.

«В конце 90-х никто еще не понимал, насколько продолжительными и масштабными могут быть координируемые кампании кибершпионажа. Анализ вредоносного ПО и кода Moonlight Maze — это не просто увлекательное „путешествие“ в прошлое, это очередное напоминание о том, что хорошо подготовленные кибергруппировки никуда не исчезают и не прекращают просто так свою деятельность. Наша общая задача сегодня — понять, почему атакующие до сих пор успешно применяют старый код, и скорректировать защиту таким образом, чтобы она учитывала все возможные векторы атак», — рассказал Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade), ведущий антивирусный эксперт «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» детектируют и блокируют вредоносное ПО, используемое Moonlight Maze и Turla.