Dem Analysten Team von Kaspersky Lab ist es gelungen, eine Verbindung von „Turla“( auch als Snake oder Uroburos bekannt) und dem bekannten Schadcode „Agent.BTZ“ aufzudecken. Im Jahr 2008 infizierte Agent.BTZ das Netzwerk des United States Central Command im Nahen Osten, dem zuständigen Regionalkommando der US-Streitkräfte.
Der Vorfall wurde damals als „der schlimmste Einbruch der Geschichte in US-Militärcomputer“ bezeichnet. Spezialisten des Pentagon benötigten rund 14 Monate um „Agent.BTZ“ komplett aus ihren militärischen Netzen zu entfernen. Die Schadsoftware, die sich als Wurm ausbreitet, entstand wohl um 2007. Sie scannt Computer auf vertrauliche Informationen und sendet diese an einen Commandand-Control-Server. Die Analysen der Kaspersky Experten zur Operation „Turla“ im März 2013 brachten interessante Verbindungen zwischen „Turla“ und „Agent.BTZ“ zutage. „Agent.BTZ“ war demnach die Vorlage für eine ganze Reihe von Cyberspionage-Kampagnen wie „Roter Oktober“, „Flame“ beziehungsweise „Gauss“ und eben „Turla“. Die Experten haben den Eindruck, dass die Entwickler weiterer groß angelegter Cyberspionage-Kampagnen „Agent.BTZ“ genau studierten und ihre Schadsoftware nach seinem Vorbild gebaut haben. Die Frage ist, ob das auch bedeutet, dass eine direkte Verbindung zwischen diesen Entwicklern existiert, kann nicht beantwortet werden. Bis heute gibt es zahlreiche Varianten des Wurms „Agent.BTZ“, die von Kaspersky Lab in all seinem Formen innerhalb der Familie „Worm.Win32.Orbina“ entdeckt wurden. Aufgrund seiner Verbreitungsmethode per USB-Stick ist er sehr weit verbreitet. Die Daten von Kaspersky Lab zeigen, dass „Agent.BTZ“ allein im vergangenen Jahr auf 13.800 Systemen in über 100 Ländern entdeckt wurde – auch in Deutschland. Vermutlich sind also weltweit zehntausende mit „Agent.BTZ“ infizierte USB-Sticks unterwegs, die eine „thmub.dd-Datei“ mit Informationen über infizierte Systeme enthalten.
