Zakładając, że Agent.btz był prawdopodobnie wczesną odmianą Węża, można zauważyć kolejne elementy wskazujące na kraj pochodzenia: czasy kompilacji wykazują przesunięcie czasowe o 4 godziny względem czasu UTC, a w kodzie znaleziono rosyjskie odwołania. Dodatkowo, wszystko wskazuje na to, że najwyraźniej nie jest to program "komercyjny", a jego stworzenie wymagało ogromnych nakładów. Wąż to niewątpliwie wynik prac sponsorowanych przez rząd jakiegoś państwa, którego nazwa zaczyna się na literę „R”.

- Przypisanie programom pochodzenia zawsze sprawia wiele trudności. Opiera się raczej na przypuszczeniach, dlatego wszelkie domysły są ryzykowne. Ale przypadek Węża wygląda na swego rodzaju „wezwanie do broni”. Nie dość, że to złośliwe oprogramowanie jest wysoce złożone, to jeszcze posiada wszystkie elementy narzędzia szpiegowskiego. To bardzo poważna sprawa – mówi David Garfield, dyrektor zarządzający ds. bezpieczeństwa cybernetycznego w BAE Systems Applied Intelligence. Jego zdaniem, wewnątrz sieci będących celami ataków mogą nadal znajdować się liczne odmiany wirusa, które utrudniają i wydłużają działania naprawcze.

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe
• Rzecznik Mety skazany przez rosyjski sąd na sześć lat więzienia

Co ciekawe, i dość wyjątkowe, jeszcze przed publikacją wyników badania firma poinformowała rządy, decydentów politycznych i krajowe zespoły reagowania na incydenty komputerowe (CERT) o wnioskach płynących z analiz.

Niezależnie od tego, jak nazywane jest to złośliwe oprogramowanie, bardzo możliwe, że to, co firmy zajmujące się bezpieczeństwem obserwują od 2010 roku, to tak naprawdę kilka powiązanych ze sobą cyberbroni będących pochodnymi tego samego programu. Stąd zamieszanie i chaos wokół różnych nazw wirusa. Zgodnie z tym rozumowaniem, Wąż nie jest bronią cybernetyczną, lecz raczej zestawem narzędzi szpiegowskich, podobnie jak wirus Stuxnet był częścią większego arsenału.

Koncern BAE Systems ujawnił kilka interesujących informacji o twórcach Węża. Zgodnie z czasami kompilacji, pracują oni od poniedziałku do piątku, rzadko w weekendy. A więc fakt, że profesjonalni cyberprzestępcy nie są bezrefleksyjnymi robotami i otrzymują wynagrodzenie za swoją pracę podobnie jak wszyscy inni ludzie, nieco uspokaja.

- Po raz kolejny widzimy, jak zorganizowani i dobrze finansowani przeciwnicy korzystają z wysoce zaawansowanych narzędzi i technik w masowych atakach na legalne organizacje – mówi Martin Sutherland, dyrektor zarządzający w BAE Systems Applied Intelligence.

Chociaż o istnieniu złośliwego oprogramowania pod nazwą Wąż wiadomo było od kilku lat, to aż do teraz nie można było zidentyfikować jego pełnego potencjału. Jak się okazuje, stwarza on poważne zagrożenie, którego nie można lekceważyć.

W ramach całkowicie odrębnego badania firma G Data uaktualniła swoją wcześniejszą analizę Węża, zwracając uwagę na to, że moduł typu rootkit (CVE-2008-3431) potrafi omijać systemy Microsoft Driver Signature Enforcement w 64-bitowych wersjach systemu Windows, począwszy od wersji Vista. W zasadzie oszukuje system operacyjny, który błędnie myśli, że pracuje w trybie deweloperskim. Nie jest to zupełna nowość, ale nadal takie sytuacje są rzadko spotykane.