lepestriny (lepestriny) wrote,
lepestriny
lepestriny

Categories:

Любопытно, взаимосвязи групп "российских государственных хакеров".

Визуализация - кодовые связи между российскими хакерскими группами


Интерактивная карта https://apt-ecosystem.com/russia/map/


За последние полтора десятилетия российские хакеры, спонсируемые государством, зарекомендовали себя как самые активные, агрессивные и разрушительные команды онлайн-агрессоров в мире. Они вмешались в выборы , отключили электроснабжение , внедрили новые хитроумные формы шпионажа , взломали Олимпиаду и выпустили самого разрушительного червя в истории - список, из-за которого даже кибершпионы Китая выглядят по сравнению с ручными клерикальными работниками. Теперь две фирмы по кибербезопасности создали новую визуальную таксономию, чтобы организовать весь этот цифровой хаос, и, возможно, помогли выяснить, кто из этих игроков принадлежит к хакерским силам Кремля.
Сегодня две израильские компании, Check Point и Intezer, опубликовали результаты широкого анализа кода, который ранее был приписан российским государственным хакерским операциям. Обе компании извлекли 2500 образцов из базы данных вредоносных программ VirusTotal и использовали автоматизированные инструменты Intezer, чтобы объединить эти образцы для совпадений кода или сходства, отфильтровывая ложные срабатывания, такие как повторное использование компонентов с открытым исходным кодом. Результатом является своего рода диаграмма созвездия для набора инструментов каждой известной российской государственной хакерской группы, показывающая кластеры, которые, вероятно, представляют независимые группы. «Раньше информация была действительно разрозненной. Теперь у нас впервые есть универсальный магазин для российских APT», - говорит Янив Балмас, глава отдела кибер-исследований Check Point, используя аббревиатуру «продвинутая постоянная угроза». отраслевой термин для сложных государственных хакеров. «Вы можете посмотреть на это, и это все там».
Крупнейшие кластеры соединенных узлов на карте показывают тесно связанные между собой инструменты, используемые знакомыми российскими хакерскими группами - от хакеров, известных как Sandworm (он же Telebots или BlackEnergy), которые вначале приобрели дурную славу с отключениями электроэнергии на украинской энергосистеме , до шпионской команды Turla это поразило исследователей такими хитростями, как переброска командно-контрольных соединений через невольные спутники . (В некоторых случаях это ничего не стоит, различные примеры кода относятся к группе на карте на основе отчетов, которые не связаны с перекрытиями кода, такими как общая инфраструктура, хотя эти ссылки фиксируются в ключе карты, а не в связанных точках .)

Карта также иллюстрирует несколько неожиданных или, по крайней мере, неясных связей кода между российскими хакерскими командами. Это показывает, например, что группа Sandworm, стоящая за BlackEnergy, поделилась кодом в одном случае с другой группой, известной как Energetic Bear или Dragonfly, названной Symantec в 2017 году как группа, ответственная за проникновение в электросети США, хотя Check Point и Intezer допускают что соответствующий код, впервые обнаруженный McAfee , может быть получен из открытого источникаа не фактическое сотрудничество. Инструмент под названием X-Agent, используемый хакерами Fancy Bear, наиболее известными своими атаками на Национальный демократический комитет и кампанию Клинтона, поделился некоторым кодом с другой шпионской группой, известной как Potao, известной шпионскими операциями против Украины и других бывших соседей советского блока. , Более примечательно, что карта показывает, что и BlackEnergy, и вредоносное ПО группы, известной как Cozy Bear или APT29, использовали код, полученный из инструмента кражи учетных данных, называемого LdPinch. Это может стать неожиданностью, учитывая, что BlackEnergy был прикован к российскому агентству военной разведки, известному как ГРУ, в то время как «Уютный медведь» был связан с российской службой внешней разведки, СВР., Известно, что эти два агентства действуют независимо и даже в качестве конкурентов, например, когда они оба были обнаружены, осуществляя отдельные вторжения в сеть DNC в 2016 году .
Но более показательным, чем эти связи, может быть относительное отсутствие связей между некоторыми отдельными кластерами кода русских хакеров, согласно Балмасу. Это предполагает, что несколько российских команд создают целые наборы инструментов - от задних дверей и инструментов управления до полезных нагрузок - без какого-либо очевидного сотрудничества. И это разъединение показывает, насколько разрослись кремлевские хакерские операции, говорит он. «Я думаю, что отсутствие связей может быть интересным», добавляет Балмас. «Восстановление всего с нуля требует много времени, усилий и ресурсов. По крайней мере, для меня это показывает огромный объем ресурсов, которые Россия готова вложить в киберпреступление».

Эти отдельные операции также намекают на общеизвестную беспощадную конкуренцию между российскими спецслужбами - конкуренцию, которая часто заставляет их превосходить друг друга в наглых актах кражи информации, подрывов и саботажа, когда они соперничают за пользу Кремля. В конце концов, страны не создают огромных созвездий из сложных, специально созданных вредоносных программ, если они не собираются их использовать.

https://www.wired.com/story/russia-hacker-groups-map/
Tags: боты, хунвейбины
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments