Ryssland är statsfinansierade dataintrång grupper sällan dela kod med varandra, och när de gör det, är det oftast inom grupper som förvaltas av samma intelligence service, en ny gemensam rapport som publiceras i dag visar.
Denna rapport, co-skriven av Check Point och Intezer Labs, är en första av sitt slag inom sitt område. De två företagen har tittat på nästan 2.000 skadliga program prover som tidigare var kopplade till Ryssland statsfinansierade dataintrång grupper, för att få en uppfattning om hur dessa skadliga prov relaterade till varandra.
Deras undersökning visade 22,000 anslutningar och 3,85 miljoner bitar av kod som var delade bland de malware stammar.
Slutsatsen av denna stora forskningsinsatser var den uppenbarelse som ryska APTs (advanced persistent threat, en term som används för att beskriva regeringens stöd hacka grupper) inte brukar dela kod med varandra.
Dessutom, i de sällsynta fall de gör det, återanvändning av kod sker oftast inom samma underrättelsetjänsten, som visar att Ryssland är tre viktigaste organ som ansvarar för utrikes-cyber-spionage inte samarbeta för deras kampanjer.
Resultaten kommer att bekräfta tidigare journalistiska undersökningar i ryska it-verksamhet, men också rapporter från andra utländska underrättelsetjänster.
Dessa tidigare rapporter visade att alla Rysslands cyber-spionage kan spåras ned och hänföras till tre olika underrättelsetjänster — FSB (Federala säkerhetstjänsten), det SVR (Underrättelsetjänsten), och GRU (Main Intelligens Direktoratet för Rysslands militära) – ingen av dessa samarbeta eller samordna med varandra.
Bild: estniska underrättelsetjänsten
Den ryska regeringen har främjat konkurrensen mellan tre myndigheter, som verkar oberoende av varandra och konkurrerar om medel. Detta i sin tur har resulterat i varje grupp utvecklar och hamstring av dess verktyg, snarare än att dela verktyg med sina motsvarigheter, en vanlig syn bland de Kinesiska och nordkoreanska staten sponsrade hackare.
“Varje aktör eller organisation under Russain APT paraply har sin egen malware utveckling team, som arbetar för år parallellt på liknande malware verktyg och ramverk,” forskarna säger.
“Även om varje aktör gör återanvända koden i olika verksamheter och mellan olika malware familjer, det finns ingen enda verktyg, bibliotek eller ram som är gemensamt mellan olika aktörer.”
Forskare säger att dessa resultat tyder på att Ryssland cyber-spionage-apparat är att investera en hel del möda på sin operativa
säkerhet.
“Genom att undvika olika organisationer på nytt med hjälp av samma verktyg på ett brett spektrum av mål, de övervinna risken för att en nedsatt funktion kommer att utsätta andra aktiva verksamhet,” forskarna säger.
Interaktiv karta
“En forskning av en sådan skala, att kartlägga kod anslutningar inuti ett helt ekosystem inte är gjort tidigare,” Itay Cohen, en säkerhetsforskare med Check Point berättade ZDNet i ett e-postmeddelande.
“Vi ville inte att analysera vilken typ av varje kod, eftersom vi talar om tusentals prover,” Cohen läggas till. “Vi kan säga att den uppenbara kluster som vi ser i vår kartläggning kan berätta för oss att varje organisation är att arbeta separat, åtminstone i den tekniska aspekten. Vissa kluster, som en av ComRAT, Agent.BTZ, och Uroburos, är en utveckling av en familj av skadlig kod över åren.”
Forskargruppen har lanserat en webbplats idag med en interaktiv karta för att belysa sambanden mellan den ryska APT malware de prover som analyserats.
De har även släppt en signatur-baserat verktyg för att skanna en värd eller en fil mot de vanligast återanvändas bitar av kod som genom de ryska APTs. Detta verktyg ska hjälpa organisationer att upptäcka om de har blivit infekterade av skadlig kod som har band (delad kod) med äldre stammar av ryska APT malware.
Mer info om denna forskning kan hittas på Check Point eller Intezer Labs webbplatser.
Säkerhet
Kära operatörer, vänligen använda befintliga verktyg för att fastställa säkerhet
Massiv våg av konto kapar träffar på YouTube skapare
Apple kastrerad ad blockerare i Safari, men till skillnad från Chrome-användare inte säga en sak
GDPR ett år senare: De utmaningar som organisationer möter fortfarande (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Regeringar som fortfarande kämpar för att brottas med weaponized sociala medier plattformar (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter