Home Ciberguerra El mapa ruso de APT revela 22.000 conexiones entre 2000 muestras de...

El mapa ruso de APT revela 22.000 conexiones entre 2000 muestras de malware

Aunque Rusia todavía tiene una economía no diversificada y estancada, fue uno de los primeros países del mundo en darse cuenta del valor de las intrusiones cibernéticas a distancia.

En los últimos años, muchos grupos de ciberdelincuentes rusos, han surgido como uno de los actores nacionales más sofisticados en el ciberespacio, produciendo técnicas de hacking altamente especializadas y kits de herramientas para el espionaje cibernético.

A partir de la década de 1980, incidentes de piratería informática de alto perfil -como la piratería de las elecciones presidenciales de EE.UU., el ataque a un país con el programa de rescate NotPetya, el apagón en la capital ucraniana, Kiev, y el quebrantamiento del Pentágono- se han atribuido a los grupos de piratería informática rusos, entre los que se incluyen Fancy Bear (Sofacy), Turla, Cozy Bear, Sandworm Team y Berserk Bear.

Además de ampliar continuamente sus capacidades en la guerra cibernética, el ecosistema de los grupos rusos de APT también se ha convertido en una estructura muy compleja, lo que dificulta la comprensión de quién es quién en el espionaje cibernético ruso.

Ahora, para ilustrar el panorama general y facilitar a todos la comprensión de los criminales rusos y sus operaciones, los investigadores de Intezer y Check Point Research unieron sus manos para lanzar un mapa interactivo basado en la web que ofrece una visión completa de este ecosistema.

Apodado “Russian APT Map”, el mapa puede ser utilizado por cualquiera para aprender información sobre las conexiones entre diferentes muestras de malware ruso de APT, familias de malware y actores de amenazas, todo con sólo hacer clic en los nodos del mapa.

“El mapa[ruso APT] es básicamente una ventanilla única para cualquiera que esté interesado en aprender y entender las conexiones y atribuciones de las muestras, módulos, familias y actores que juntos conforman este ecosistema”, explicaron los investigadores.

“Al hacer clic en los nodos del gráfico, se mostrará un panel lateral que contiene información sobre la familia de malware a la que pertenece el nodo, así como enlaces a los informes de análisis de la plataforma de Intezer y enlaces externos a artículos y publicaciones relacionados”.

En su esencia, el mapa ruso de APT es el resultado de una investigación exhaustiva en la que los investigadores recopilaron, clasificaron y analizaron más de 2.000 muestras de malware atribuidas a grupos de piratas informáticos rusos, y mapearon casi 22.000 conexiones entre ellos basándose en 3,85 millones de piezas de código que compartían.

“Cada actor u organización bajo el paraguas de Russain APT tiene sus propios equipos dedicados al desarrollo de malware, trabajando durante años en paralelo en conjuntos de herramientas y marcos de trabajo de malware similares. Sabiendo que muchas de estas herramientas sirven para el mismo propósito, es posible detectar redundancia en esta actividad paralela”.

El mapa ruso de APT también revela que aunque la mayoría de los grupos de hacking reutilizaban su propio código en sus propias herramientas y marcos de trabajo, no se encontraron grupos diferentes utilizando el código de cada uno.

“Al evitar que diferentes organizaciones reutilicen las mismas herramientas en una amplia gama de objetivos, superan el riesgo de que una operación comprometida exponga otras operaciones activas, evitando que se derrumbe un castillo de naipes delicado”, afirman los investigadores.

“Otra hipótesis es que las diferentes organizaciones no comparten código debido a la política interna”.

Para hacerla más eficiente y actualizada en el futuro, los investigadores también han abierto el mapa y los datos que lo sustentan.

Además, los expertos han publicado una herramienta de escaneo basada en reglas de Yara, denominada “Russian APT Detector”, que puede ser utilizada por cualquiera para escanear un archivo específico, una carpeta o un sistema de archivos completo y buscar infecciones por piratas informáticos rusos.

Con información de: The Hacker News.