Rusland ‘ s stats-sponsoreret hacking grupper sjældent deler kode med en anden, og når de gør, er det normalt i grupper, der forvaltes af den samme intelligens, en ny fælles rapport, der blev offentliggjort i dag afslører.
Denne rapport, co-forfattet af Check Point og Intezer Labs, er det første af sin art i sit område. De to virksomheder, der kiggede på næsten 2.000 malware prøver, der tidligere var knyttet til Rusland statsstøttet hacking grupper, for at få en idé om, hvordan disse malware-prøver, der er relateret til hinanden.
Deres undersøgelse viste, 22,000 forbindelser og 3.85 millioner stykker af kode, der blev delt mellem de malware stammer.
Indgåelse af denne store forskningsindsats var den åbenbaring, at den russiske APTs (advanced persistent threat, en term, der anvendes til at beskrive offentligt støttede grupper af hackere), som normalt ikke deler kode med en anden.
Desuden, i de sjældne tilfælde, genbrug af kode, normalt sted i samme efterretningstjeneste, der viser, at Ruslands vigtigste agenturer, der er ansvarlige for udenlandske cyber-spionage ikke arbejde for deres kampagner.
Rapportens resultater kommer til at bekræfte tidligere journalistiske undersøgelser af russiske cyber-operationer, men også rapporter fra andre udenlandske efterretningstjenester.
Disse tidligere rapporter fundet, at alle Ruslands cyber-spionage kan spores ned, og henføres til tre efterretningstjenester — FSB (Føderale Security Service), SVR (Efterretningstjeneste), og GRU (Vigtigste Intelligens, Direktoratet for Ruslands militære) — ingen, som samarbejde eller koordinere med hinanden.
Billede: estisk efterretningstjeneste
Den russiske regering har skabt konkurrence mellem de tre bureauer, som arbejder uafhængigt af hinanden, og konkurrere om midlerne. Dette har resulteret i hver gruppe for at udvikle og hamstring af sine værktøjer, snarere end at dele værktøjssæt med kolleger, et almindeligt syn blandt de Kinesiske og nordkoreanske stats-sponsoreret hackere.
“Enhver aktør eller organisation under Russain APT-paraply har sin egen dedikerede malware udvikling teams, der arbejder for år sideløbende på lignende malware værktøjer og rammer,” siger forskerne.
“Mens hver skuespiller gør genbrug sin kode i forskellige aktiviteter og mellem forskellige malware familier, der er ingen enkelt værktøj, bibliotek eller rammer, der er delt mellem forskellige aktører.”
Forskere siger, at disse resultater tyder på, at Ruslands cyber-spionage apparat er at investere en masse kræfter i sit operationelle
sikkerhed.
“Ved at undgå forskellige organisationer, igen ved hjælp af de samme værktøjer på en bred vifte af mål, som de at overvinde den risiko, at en kompromitteret drift vil udsætte andre aktive operationer,” siger forskerne.
Interaktivt kort
“En forskning af en sådan størrelse, at kort kode forbindelser inde i et helt økosystem, var det ikke gjort før,” Itay Cohen, en sikkerhedsekspert med Check Point fortalte ZDNet i en e-mail.
“Vi kunne ikke analysere karakteren af hver kode, da vi taler om tusindvis af prøver,” Cohen tilføjet. “Vi kan sige, at den åbenlyse klynger, vi ser i vores kortlægning kan fortælle os, at hver organisation arbejder hver for sig, i det mindste i det tekniske aspekt. Nogle klynger, som den ene af ComRAT, Agent.BTZ, og Uroburos, er en videreudvikling af en malware familie i de år.”
Forskerholdet lanceret en hjemmeside i dag med et interaktivt kort for at fremhæve forbindelserne mellem den russiske APT malware prøver de analyserede.
De har også udgivet en signatur-baseret værktøj til at scanne en vært eller en fil, mod de mest almindeligt re-brugte stykker af kode, som den russiske APTs. Dette værktøj skal hjælpe virksomheder med at opdage, hvis de har været inficeret med malware, der har bånd (fælles kode) med ældre stammer af russiske APT malware.
Mere info om denne forskning kan findes på Check, eller Intezer Labs hjemmesider.
Sikkerhed
Kære netværk operatører, kan du bruge de eksisterende værktøjer til at lave sikkerhed
Massiv bølge af hensyn kaprer hits på YouTube skabere
Apple kastreret ad-blokering i Safari, men i modsætning til Chrome, brugere ikke kan sige en ting
GDPR et år senere: De udfordringer, organisationer står stadig over for (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Regeringer, der stadig kæmper for at slås med weaponized sociale medier platforme (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre