TechNews

Rosja to gracz nr 1 na hakerskiej arenie

Rosja to jeden z najważniejszych graczy na arenie wojen cybernetycznych. Potwierdza to wywiad cybernetyczny przeprowadzony we współpracy Intezer i Check Point Research, który pozwolił na odwzorowanie rosyjskiego ekosystemu do przeprowadzania ataków APT (Advanced Persistent Threats) na niespotykaną dotąd skalę. Gromadząc i klasyfikując tysiące szkodliwych próbek oraz wykorzystując technologię Intezer do wykrywania i analizowania podobieństw między kodami, możliwe jest teraz przeglądanie różnych powiązań między rodzinami złośliwego oprogramowania a domniemanymi jednostkami rosyjskiego rządu w jednym miejscu.

Gdy w ostatnim odcinku popularnego serialu HBO „Czarnobyl” prokurator zapytał profesora Walerija Legasowa, jaka była przyczyna podjęcia skandalicznej decyzji, która doprowadziła do katastrofy w Czarnobylu, Legasow odpowiedział, że przyczyna była taka sama, jak w przypadku ignorowania innych środków bezpieczeństwa i przymykania oczu na pewne sprawy w ówczesnym Związku Radzieckim: „tak jest taniej”.

Z badań, które Check Point Research przeprowadził na bezprecedensową skalę wspólnie z firmą Intezer wynika, że twierdzenie prof. Legasowa nie ma odniesienia do rosyjskich cyberdziałań.

Nazwy takie jak Turla, Sofacy czy APT29 budzą mogą, a nawet powinny budzić niepokój. Są to jedne z najbardziej zaawansowanych, rozbudowanych i nie bez powodu okrytych złą sławą grup specjalizujących się w atakach APT. Jednostki te, których utworzenie przypisuje się Rosji, stanowią część większego obrazu, według którego Rosja stanowi jedną z największych potęg we współczesnych wojnach cybernetycznych.

Ich zaawansowane narzędzia, nowatorskie strategie i solidna infrastruktura sugerują istnienie gigantycznych i złożonych operacji, w których udział biorą różne rosyjskie organy wojskowe i rządowe.

Infografika opublikowana w
raporcie estońskiej Służby Wywiadu Zagranicznego

W ciągu ostatnich trzech dziesięcioleci Rosja zasłynęła prowadzeniem różnego rodzaju cyberoperacji szpiegowskich i sabotażowych. Począwszy od pierwszych, powszechnie znanych ataków autorstwa Moonlight Maze w 1996 r., przez włamanie się do systemów Pentagonu w 2008 r., odcięcie prądu w Kijowie w 2016 r., atak hakerski związany z wyborami w USA w 2016 r., po jeden z największych i najsłynniejszych cyberataków w historii – atak na cały kraj przy użyciu oprogramowania szantażującego NotPetya.

W istocie liczne operacje Rosjan i rodziny złośliwego oprogramowania zostały publicznie zdemaskowane przez różne firmy zajmujące się cyberbezpieczeństwem i agencje wywiadowcze, takie jak FBI czy estońska Służba Wywiadu Zagranicznego. Choć wszystkie te działania rzucają światło na konkretne rosyjskie jednostki i operacje, szerszy kontekst pozostaje niejasny.

Niepewność przesłaniająca te złożone operacje uświadamia, że choć wiedzą już wiele o pojedynczych jednostkach, to nie są jeszcze w stanie dostrzec całego ekosystemu obejmującego interakcje między jednostkami (lub ich brak), a także konkretne techniki, taktyki i procedury (tzw. TTPs), które mogliby ukazać w głębszym kontekście. Check Point Research podjął decyzję, by dowiedzieć się więcej i spojrzeć na te kwestie z szerszej perspektywy. Zgromadził, sklasyfikował i przeanalizował tysiące próbek złośliwego oprogramowania autorstwa rosyjskich grup APT, aby odnaleźć powiązania – nie tylko między próbkami, ale również między różnymi rodzinami i jednostkami.

W trakcie badań eksperci przebadali około 2000 próbek, których autorstwo przypisuje się Rosji i znaleźli 22 000 powiązań między próbkami oraz 3,85 miliona fragmentów współdzielonego kodu. Próbki zaklasyfikowano do 60 rodzin oraz 200 różnych modułów.

Najważniejsze ustalenia

Niniejsze badanie jest pierwszym i najbardziej kompleksowym badaniem tego typu.
Po raz pierwszy zgromadzono, sklasyfikowano i przeanalizowano tysiące próbek w celu ustalenia powiązań między różnymi organizacjami cyberszpiegowskimi należącymi do supermocarstwa.

W większości przypadków jednostki rosyjskie nie współdzielą między sobą kodu.
Choć każda z jednostek ponownie wykorzystuje wcześniejszy kod w różnych operacjach, a także w różnych rodzinach złośliwego oprogramowania, nie istnieją pojedyncze narzędzia, biblioteki lub platformy programistyczne, które są współdzielone między różnymi jednostkami.

Każda jednostka lub organizacja działająca pod szyldem rosyjskich grup APT ma swoje własne, dedykowane zespoły pracujące równolegle latami nad podobnymi zestawami narzędziowymi i platformami dla złośliwego oprogramowania. Ponieważ wiele z tych zestawów narzędziowych ma jednakowe zastosowanie, możliwe jest dostrzeżenie nadmiarowości w tych równoległych działaniach. 

Niniejsze ustalenia mogą sugerować, że Rosja wkłada wiele wysiłku w swoje bezpieczeństwo operacyjne.
Dzięki temu, że różne organizacje korzystają z różnych narzędzi do prowadzenia ataków na rozmaite cele, ograniczone zostaje ryzyko, iż jedna wykryta operacja spowoduje zdemaskowanie innych aktywnych operacji.

Udało nam się zweryfikować uprzednio zgłoszone powiązania między różnymi rodzinami, co potwierdziliśmy analizą podobieństw kodu.

Publikujemy kilka narzędzi do użytku społeczności badawczej:
– Interaktywną mapę połączeń między dziesiątkami rodzin rosyjskiego oprogramowania APT oraz ich komponentami
– Działające na bazie sygnatur narzędzie do skanowania hosta lub pliku pod kątem powszechnie stosowanych fragmentów kodu rosyjskiego oprogramowania APT

Pełna analiza znajduje się pod adresem: https://research.checkpoint.com/russianaptecosystem/

Leszek Cieloch Administrator
Sorry! The Author has not filled his profile.
×
Leszek Cieloch Administrator
Sorry! The Author has not filled his profile.