Thomas Rid經過大量的調查分析，在近期的安全分析師峰會(SAS)報告中指出：Moonlight Maze(月光迷宮)網絡間諜們已經演變成了目前的Turla。

網絡間諜活動月光迷宮已演變成Turla-E安全

1996年10月7日,美國科羅拉多礦業大學遭遇網絡入侵。入侵者利用設備上安裝的SUN OS4操作系統中的漏洞襲擊了一臺位于該校布朗大樓(Brown Building)內、昵稱為“Baby_Doe”的電腦。他們通過這臺電腦輾轉進入美國國家航空航天局、美國海軍和空軍總部及遍及全美的高校和軍事機構的其他電腦。

此項間諜行動持續了數年,搜集了大量敏感信息。后續調查發現,在此期間搜集的數據如打印成稿,其堆積的高度可堪比華盛頓紀念碑。調查者還注意到,大量的入侵行動發生在夜間。基于這一事實及入侵者襲擊網絡的交錯復雜性,此次事件得名“月光迷宮”。隨著調查的繼續深入,入侵者漸出水面:俄羅斯特工。

嚴格意義上說,“月光迷宮”行動已停止。但此次間諜活動的代號蜂擁出現在雜志封面,甚至調查者所穿的T-shirt上。但這個代號已經成為了針對美國境內大量目標的俄羅斯網絡間諜行動的代表。

年度卡巴斯基實驗室在會議期間， Rid、Costin Raiu 和 Juan Andres Guerrero-Saade 提出了更多的證據，證明明確講俄語的 apt，熟練的通過衛星鏈路劫持、政府網站水坑攻擊、隱蔽后門、 rootkits,等手段竊取敏感西方目標機密。而上述一切似乎與 Agent.BTZ有著密不可分的聯系。

網絡間諜活動月光迷宮已演變成Turla-E安全

Agent.BTZ是Virus Bulletin 2014年由 Kurt Baumgartner發現的樣本，該樣本使用了衛星IP劫持技術，而這與后來Turla升級版使用的技術極為相似。

早期的月光迷宮針對諸如 Sun Solaris的UNIX 系統，而今天的 Turla APT目標則是Windows ，這么大的差距間是如何被關聯起來的?

2014 年卡巴斯基宣布發現了 Penquin Turla(第一代)，當時它利用的是開放源碼 LOKI2 后門。LOKI2 是Alhambra 和 daemon9 在90年代后期于Phrack (雜志)發布的。(Penquin仍然在西方盛行，最新的版本1個月前在德國某系統中被發現)

Guerrero-Saade稱：目前還沒有看到任何其它攻擊者利用該工具，這是月光迷宮攻擊者的最愛~!在卡巴的45個月光迷宮的樣本中9個利用了該后門。

他同時指出：可怕之處在于，20多“歲”的惡意軟件在重新包裝后仍然有效。編寫于 1999 年，而鏈接的二進制文件，例如 Linux 2.2.0 和 2.2.5 libpcap 版本 ，21 世紀初的OpenSSL 從。從 2011年到上個月針對德國一個目標中仍然被發現了。

有趣的是偵察背后的故事：

誰有多年前被月光迷宮破壞的 Solaris 服務器呢?來自英國的管理員David Hedges幫了大忙。他與倫敦警察、FBI合作，保存了服務器的鍵盤記錄和二進制文件移動記錄，現在被稱為 HRTest。

網絡間諜活動月光迷宮已演變成Turla-E安全

Thomas Rid, David Hedges, Daniel Moore, and Juan Andres Guerrero-Saade

研究人員找到Hedges時，他已經是半退休狀態了。但Hedges的服務器仍然運行，他共享了訪問日志，以及 43個月光迷宮攻擊中的二進制文件和一個工具包。(這個管理員 太 牛 了 吧~!)

研究人員稱，下一步會把重點放在一個代號為風暴云(Storm Cloud)的計劃中。通過超越“歷史價值”的理解，審視惡意軟件，發現“蛀蟲”。