Nubo

Russian Mapa APT revela 22.000 conexões entre 2000 amostras de malware

Embora a Rússia ainda tem uma economia pouco diversificada e estagnado, foi um dos primeiros países do mundo a perceber o valor de intrusões cibernéticas realizadas remotamente.

Nos últimos anos, muitos grupos de hackers Rússia emergiram como um dos atores do estado-nação mais sofisticados no ciberespaço, produzindo técnicas de invasão altamente especializados e ferramentas para espionagem cibernética.

Ao longo das últimas três décadas, muitos de alto perfil de hackers incidentes-como cortar as eleições presidenciais norte-americanas, visando um país com NotPetya ransomware, provocando apagão na capital ucraniana Kiev, eo Pentágono quebra-têm sido atribuídos a grupos de hackers russos, incluindo Urso extravagante (Sofacy ), Turla, Cozy Bear, Sandworm equipe e Bear Berserk.
   
Além de ampliar continuamente as suas capacidades de guerra cibernética, o ecossistema de grupos APT russos também tem crescido em uma estrutura muito complexa, tornando-o mais difícil de entender quem é quem no espionagem cibernética russa.

Agora, para ilustrar a grande imagem e torná-lo mais fácil para que todos possam compreender os hackers russos e suas operações, pesquisadores da Intezer e Check Point Research conjuntas, as suas mãos para liberar um mapa baseado na web, interativa que dá uma visão completa deste ecossistema.

Apelidado de “Mapa APT russo”, o mapa pode ser usado por qualquer pessoa para obter informações sobre as conexões entre diferentes amostras russos APT malware, famílias de malware e atores-all ameaça apenas clicando sobre nós no mapa.

“O [APT russo] mapa é basicamente um one-stop-shop para quem está interessado em aprender e compreender as conexões e atribuições das amostras, módulos, famílias e atores que, juntos, compõem esse ecossistema,” os investigadores disse ao The Hacker News .

“Ao clicar em nós no gráfico, um painel lateral irá revelar, contendo informações sobre a família de malware o nó pertence, bem como links para relatórios de análise sobre a plataforma da Intezer e links externos para artigos e publicações relacionadas.”

Na sua essência, o Mapa APT russo é o resultado de uma pesquisa abrangente onde os pesquisadores se reuniram, classificadas e analisadas mais de 2.000 amostras de malware atribuídos a grupos de hackers russos, e mapeou cerca de 22.000 conexões entre eles com base em 3,85 milhões de pedaços de código que eles compartilhados.

“Cada ator ou organização sob o guarda-chuva APT Russain tem suas próprias equipes de desenvolvimento de malware dedicados, trabalhando há anos em paralelo em kits de ferramentas e frameworks de malware semelhantes. Sabendo que muitos desses kits de ferramentas têm a mesma finalidade, é possível detectar a redundância neste atividade paralela.”

Russian Mapa APT revela também que embora a maioria dos grupos de hackers foram re-utilizando seu próprio código em suas próprias ferramentas e estruturas diferentes, há grupos diferentes foram encontrados usando o código do outro.

“Ao evitar diferentes organizações re-utilizando as mesmas ferramentas em uma ampla gama de alvos, eles superam o risco de que uma operação comprometida irá expor outras operações ativas, evitando uma casa sensíveis de cartões de entrar em colapso”, dizem os pesquisadores.

“Outra hipótese é que diferentes organizações não compartilham código devido à política interna.”

Para torná-lo mais eficiente e up-to-date no futuro, os pesquisadores também têm código aberto do mapa e os dados por trás dele.

Além disso, os pesquisadores também lançou uma ferramenta de varredura baseado em regras Yara, apelidado de “Russian APT Detector”, que pode ser usado por qualquer pessoa para digitalizar um arquivo específico, uma pasta ou um sistema de arquivo inteiro e procurar infecções por hackers russos.