Tražeći vezu između sajber pretnji i napada hakerske grupe Moonlight Maze, koji su bili aktuelni krajem 90-tih godina, istraživači iz kompanije Kaspersky Lab i Kings College Univerziteta u Londonu otkrili su uzorke, zapise i artefakte koji su pripadali nekim od prvih APT napada.
Rezultati istraživanja ukazali su na to da postoji povezanost između „backdoor-a“ koji je 1998. godine koristila hakerska grupa Moonlight Maze i „backdoor-a“ koji je 2011. godine (a možda i 2017. godine) koristila hakerska grupa Turla.
Izveštaji o hakerskoj grupi Moonlight Maze ukazuju na to da su, počevši od 1996. godine, institucije vojske SAD, vladine mreže, univerziteti, pa čak i Ministarstvo energetike, počeli da detektuju upade u njihove sisteme. Od 1998. godine, FBI i Ministarstvo odbrane započeli su masovnu istragu. Priča je javna od 1999. godine, ali je većina dokaza ostala nedostupna, zbog čega je hakerska grupa Moonlight Maze ostala pod velom tajne i misterije.
U godinama koje su dolazile, istraživači iz tri različite države naglašavali su da je grupa Moonlight Maze evoluirala u grupu Turla, hakersku grupu sa ruskog govornog područja, poznatu i kao Snake, Uroburos, Venomous Bear i Krypton.
Stručnjaci smatraju da je grupa Turla aktivna od 2007. godine.
Uzorci „sa police“
U toku 2016. godine, dok je istraživao za svoju knjigu „Rise of the Machines“, Tomas Rid sa Kings College Univerziteta u Londonu pronašao je nekadašnjeg sistemskog administratora organizacije čiji server je „otela hakerska grupa Moonlight Maze. Ovaj stručnjak, koji je sada u penziji, sačuvao je originalni server i kopije svih dokumenata u vezi sa napadom, i predao ih je istraživačima iz Kings College Univerziteta u Londonu i kompanije Kaspersky Lab na dalju analizu.
Istraživači iz kompanije Kaspersky Lab, Huan Andres Gerero-Sade i Kostin Raju, zajedno sa Tomasom Ridom i Denijem Murom sa Kings College Univerziteta, proveli su devet meseci istraživajući ove uzorke. Oni su rekonstruisali „rad“ napadača, njihove alate i tehnike, i sproveli paralelnu istragu kako bi dokazali povezanost sa grupom Turla.
Retki uzorci
Grupa Moonlight Maze koristila je napad zasnovan na Unix-u otvorenog izvora i targetirala je Solaris sisteme, a rezultati istraživanja ukazuju na to da su napadi sprovođeni pomoću „backdoor-a“ zasnovanog na LOKI2 programu. Zbog toga su istraživači odlučili da još jednom ispitaju neke retke Linux uzorke koje je koristila grupa Turla, a koje je kompanija Kaspersky Lab otkrila 2014. godine. Ovi uzorci, nazvani Penquin Turla, takođe su bili zasnovani na LOKI2 programu. Daljom analizom ustanovljeno je da su svi koristili kod koji je kreiran između 1999. i 2004. godine.
Neverovatno je da je ovaj kod i dalje korišćen u napadima. Primećen je 2011. godine, kada je detektovan napad na odbrambenu kompaniju Ruag u Švajcarskoj, gde je osumnjičena bila grupa Turla. Zatim, u martu 2017. godine, istraživači iz kompanije Kaspersky Lab detektovali su novi uzorak „backdoor-a“ grupe Penquin Turla koji je napado jedan sistem u Nemačkoj.
Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju malver koji koriste grupe Moonlight Maze i Penquin Turla.