Check Point и Intezer Labs представили результат своих совместных исследований. Аналитики компаний изучили порядка 2000 экземпляров малвари, чтобы создать интерактивную карту связей между русскоязычными группами «правительственных хакеров».
Исследователи объясняют, что экосистема русскоязычных APT (advanced persistent threat) развилась в очень сложную структуру и сейчас совсем трудно разобраться, кто есть кто в российском кибершпионаже.
Исследование выявило более 22 тыс. связей и 3,85 млн частей кода, которые различные зловреды делят между собой. Вывод специалистов таков: российские APT редко делятся кодом друг с другом. По их мнению, нечастые случаи повторного использование кода обычно имеют место в рамках одной разведслужбы. Из этого аналитики делают вывод, что ФСБ, ГРУ и СВР, отвечающие за кибероперации за рубежом, практически не сотрудничают друг с другом в ходе своих кампаний.
Компании полагают, что правительство намеренно стимулировало конкуренцию между спецслужбами, которые работают независимо друг от друга и конкурируют за средства. В итоге каждая группа годами разрабатывает и накапливает собственные инструменты и не делится ими с коллегами, что является обычной практикой для «правительственных хакеров» из Китая и Северной Кореи.
«Хотя каждая группа действительно повторно использует свой код в различных операциях и различных семействах вредоносного ПО, не существует единого инструмента, библиотеки или инфраструктуры, которые совместно используются разными группировками, — пишут эксперты. — Избегая повторного использования одних и тех же инструментов разными организациями против широкого спектра целей, они минимизируют риск того, что одна скомпрометированная операция потянет за собой и другие активные кампании».
Аналитики признают, что не изучали весь код слишком скрупулезно, так как речь шла о тысячах образцов. Но, выделив очевидные кластеры вредоносов, удалось понять, что некоторые из них (например, ComRAT, Agent.BTZ и Uroburos), представляют собой эволюцию семейства малвари на протяжении многих лет.
Помимо уже упомянутой выше интерактивной карты специалисты также представили специальный инструмент, работающий с сигнатурами, с помощью которого можно осуществить сканирование любого хоста или файла на предмет часто используемых фрагментов кода за авторством российских хак-групп. Этот инструмент призван помочь организациям определить, заражены ли они вредоносным ПО, имеющим связь с малварью русскоязычных APT.
(1).jpg)
.jpg)
