En Rusia revelan 22.000 conexiones entre 2.000 muestras de malware


Aunque Rusia todavía tiene una economía estancada y sin diversificar, fue uno de los primeros países del mundo en darse cuenta del valor de las intrusiones cibernéticas realizadas de forma remota.

En los últimos años, muchos grupos de piratería de Rusia se han convertido en uno de los actores más sofisticados de los Estados-nación en el ciberespacio, produciendo técnicas de piratería y kits de herramientas altamente especializados para el espionaje cibernético.

En las últimas tres décadas, muchos incidentes de piratería de alto perfil, como piratear las elecciones presidenciales de EE. UU., Dirigirse a un país con el ransomware NotPetya, causar un apagón en la capital ucraniana Kiev, y la violación del Pentágono, se han atribuido a grupos de piratería rusos, incluido Fancy Bear (Sofacy ), Turla, Cozy Bear, Sandworm Team y Berserk Bear.

Además de expandir continuamente sus capacidades de guerra cibernética, el ecosistema de los grupos APT rusos también se ha convertido en una estructura muy compleja, lo que hace que sea más difícil entender quién es quién en el ciberespionaje ruso.

Ahora, para ilustrar el panorama general y facilitar que todos entiendan a los piratas informáticos rusos y sus operaciones, los investigadores de Intezer y Check Point Research unen sus manos para lanzar un mapa interactivo basado en la web que ofrece una visión general completa de este ecosistema.

Apodado "Mapa APT ruso", cualquiera puede usar el mapa para obtener información sobre las conexiones entre diferentes muestras de malware APT ruso, familias de malware y actores de amenazas, todo simplemente haciendo clic en los nodos en el mapa.

"El mapa [de la APT rusa] es básicamente una ventanilla única para cualquier persona interesada en aprender y comprender las conexiones y atribuciones de las muestras, módulos, familias y actores que juntos componen este ecosistema", dijeron los investigadores a The Hacker News .

"Al hacer clic en los nodos en el gráfico, se mostrará un panel lateral que contiene información sobre la familia de malware a la que pertenece el nodo, así como enlaces a informes de análisis en la plataforma de Intezer y enlaces externos a artículos y publicaciones relacionados".

En esencia, el mapa APT ruso es el resultado de una investigación exhaustiva en la que los investigadores reunieron, clasificaron y analizaron más de 2,000 muestras de malware atribuidas a grupos de piratería rusos, y mapearon cerca de 22,000 conexiones entre ellos en base a 3.85 millones de piezas de código que compartieron.

"Cada actor u organización bajo el paraguas Russain APT tiene sus propios equipos dedicados de desarrollo de malware, trabajando durante años en paralelo en kits de herramientas y marcos de malware similares. Sabiendo que muchos de estos kits de herramientas tienen el mismo propósito, es posible detectar redundancia en este actividad paralela ".

El mapa ruso APT también revela que, aunque la mayoría de los grupos de hackers estaban reutilizando su propio código en sus propias herramientas y marcos, no se encontraron grupos diferentes usando el código del otro.

"Al evitar que diferentes organizaciones reutilicen las mismas herramientas en una amplia gama de objetivos, superan el riesgo de que una operación comprometida exponga otras operaciones activas, evitando el colapso de un castillo de naipes sensible", dicen los investigadores.

"Otra hipótesis es que diferentes organizaciones no comparten código debido a políticas internas".

Para hacerlo más eficiente y actualizado en el futuro, los investigadores también han abierto el mapa y los datos detrás de él.

Además de esto, los investigadores también han lanzado una herramienta de escaneo basada en reglas de Yara, denominada "Detector APT ruso", que cualquiera puede usar para escanear un archivo específico, una carpeta o un sistema de archivos completo y buscar infecciones por piratas informáticos rusos.

No olvides Compartir... 


Siguenos en twitter: @disoftin - @fredyavila