Az Agent.BTZ 2008-ban az Egyesült Államok Központi Parancsnokság helyi hálózatait fertőzte meg a Közel-Keleten, amelyet akkor „az amerikai hadsereg számítógépeit érintő, a történelem legsúlyosabb támadásának" neveztek. A Pentagon szakemberei mintegy 14 hónap alatt tudták rendbe tenni az Agent.BTZ által okozott károkat. A féreg már 2007 környékén képes volt vizsgálni a számítógépek bizalmas információit és adatokat küldeni, egy távoli C&C szerver segítségével.
A Kaspersky Lab először 2013 márciusában szerzett tudomást a Turla elnevezésű számítógépes kémkedési akcióról, amikor is a cég szakemberei egy igen kifinomult rootkitet vizsgáltak. Az eredetileg „Sun Rootkit" nevet viselő kártevő, egy „sunstore.dmp" nevű fájlrendszert használt, amely a"\\.\Sundrive1" és \\.\Sundrive2 neveken is elérhető volt. A „Sun Rootkit" és a „Snake" valójában egy és ugyanaz.
A kutatás során a Kaspersky Lab szakértői néhány érdekes kapcsolatot fedeztek fel a Turla és a többfunkciós Agent.BTZ között. Az Agent.BTZ féreg úgy tűnik, hogy több, későbbi súlyos támadásokat indító számítógépes kémprogramot is inspirált, beleértve a Red October-t, a Turla-t, valamint a Flame/Glauss-t.
Figyelembe véve ezeket a tényeket, nyilvánvaló, hogy a négy számítógépes kémkedési akció fejlesztői részletesen tanulmányozták az Agent.BTZ működését, továbbá azt, hogy milyen fájlneveket használ, amely modellként szolgálhat az új kémprogramokkal és vírusokkal foglalkozó fejlesztőknek. Ezek alapján felmerül a kérdés, hogy van-e közvetlen kapcsolat ezen kiberkémkedési eszközök fejlesztői között?
„Nem lehet következtetést levonni ezekből a tényekből. Az információk nyilvánosak voltak, amelyeket a fejlesztők használták a Red October vagy a Flame/Gauess létrehozásánál. Nem titok, hogy az Agent.BTZ „thumb.dd"-t használt, hogy információkat gyűjtsön a fertőzött rendszerektől, valamint ezen túlmenően a Turla és az Agent.BTZ XOR kulcsot használták a fejlesztők, hogy titkosítsák azokat log fájlokat, amelyek 2008-ban jelentek meg. Nem tudjuk pontosan, hogy ezt a kulcsot mikor használták először a Turla-ban, de láthatjuk, hogy a legújabb mintákban volt jelen 2013 és 2014 között. Ugyanakkor vannak olyan bizonyítékok, amelyek arra utalnak, hogy a Turla 2006-tól indult útjára, még mielőtt az Agent.BTZ-ről bármit is tudtunk volna, amely újabb nyitott kérdéseket hagyott maga után." - mondta Aleks Gostev, a Kaspersky Lab vezető biztonsági szakértője.
Agent.BTZ – folytatódik?
Az Agent.BTZ féregnek számos módosult változata volt. Ma a korszerű védelmi megoldások blokkolják minden formáját. A Kaspersky Lab adatainak köszönhetően látható, hogy 2013-ban az Agent.BTZ-t közel 100 országban, 13 800 rendszerben azonosították, amelykből arra lehet következtetni, hogy valószínűleg több tíz ezer USB-meghajtót fertőzött meg az Agent.BTZ.