В последние годы многие российские хакерские группы стали одним из самых искушенных игроков в киберпространстве национальных государств, производящих высокоспециализированные методы взлома и инструментарий для кибершпионажа.
За последние три десятилетия многие громкие хакерские инциденты, такие как хакерство на президентских выборах в США , нацеливание на страну с использованием программ-вымогателей NotPetya , отключение электроэнергии в украинской столице Киеве и нарушение Пентагона, были приписаны российским хакерским группам, включая Fancy Bear (Sofacy). ), Турла , Уютный медведь , команда песчаного червя и медведь-берсерк.
Помимо постоянного расширения возможностей кибервойны, экосистема российских групп APT также выросла в очень сложную структуру, что затрудняет понимание того, кто есть кто в российском кибершпионаже.
Теперь, чтобы проиллюстрировать общую картину и сделать так, чтобы всем было легче понять российских хакеров и их деятельность, исследователи из Intezer и Check Point Research объединили свои усилия, чтобы выпустить интерактивную карту на основе Интернета, которая дает полный обзор этой экосистемы.
Эта карта , получившая название « Русская карта APT », может использоваться любым человеком для получения информации о связях между различными образцами российского вредоносного ПО APT, семействами вредоносных программ и субъектами угроз - все просто щелкают узлы на карте.
«Карта [Russian APT] - это, по сути, универсальный магазин для всех, кто заинтересован в изучении и понимании связей и атрибутов образцов, модулей, семейств и действующих лиц, которые вместе составляют эту экосистему», - сказали исследователи The Hacker News. ,
«Если щелкнуть узлы на графике, откроется боковая панель, содержащая информацию о семействе вредоносных программ, к которому принадлежит узел, а также ссылки на аналитические отчеты на платформе Intezer и внешние ссылки на соответствующие статьи и публикации».
По своей сути, российская карта APT является результатом всестороннего исследования, в ходе которого исследователи собрали, классифицировали и проанализировали более 2000 образцов вредоносных программ, относящихся к российским хакерским группам, и сопоставили почти 22 000 соединений между ними на основе 3,85 миллиона фрагментов кода, которыми они поделились.
«У каждого участника или организации под эгидой Russain APT есть свои собственные специальные группы разработчиков вредоносных программ, которые годами работают над аналогичными инструментами и средами для вредоносных программ. Зная, что многие из этих наборов инструментов служат одной и той же цели, можно обнаружить избыточность в этом параллельная деятельность. "
Российская карта APT также показывает, что, хотя большинство хакерских групп повторно использовали свой собственный код в своих собственных инструментах и инфраструктурах, не было обнаружено никаких разных групп, использующих код друг друга.
«Избегая повторного использования одними и теми же инструментами разных организаций для решения широкого круга задач, они преодолевают риск того, что одна скомпрометированная операция подвергнет другие активные операции предотвращению разрушения чувствительного карточного дома», - говорят исследователи.
«Другая гипотеза заключается в том, что разные организации не разделяют код из-за внутренней политики».
Чтобы сделать ее более эффективной и актуальной в будущем, исследователи также открыли карту с открытым исходным кодом и данные за ней.
Помимо этого, исследователи также выпустили инструмент сканирования на основе правил Yara, получивший название ", «который может быть использован кем-либо для сканирования определенного файла, папки или целой файловой системы и поиска заражений российскими хакерами.