Russlands APT-Karte zeigt 22.000 Verbindungen zwischen 2.000 bösartigen Proben …

Russlands APT-Karte zeigt 22.000 Verbindungen zwischen 2.000 bösartigen Proben ...

Obwohl Russland immer noch eine undifferenzierte und stagnierende Wirtschaft hat, war es eines der ersten LĂ€nder der Welt, das den Wert von ferngesteuerten Cyberangriffen erkannte.

In den letzten Jahren haben sich viele russische Hacker-Gruppen zu einer der fortschrittlichsten nationalstaatlichen Einheiten im Cyberspace entwickelt und hochspezialisierte Hacking-Techniken und Cyberspionage-Toolkits entwickelt.

In den letzten drei Jahrzehnten wurden russischen Hacker-Gruppen, darunter Fancy Bear (Sofacy), Turla, viele hochkarĂ€tige Hacking-VorfĂ€lle gemeldet – beispielsweise das Hacken der US-PrĂ€sidentschaftswahlen, der Angriff auf ein Land mit NotPetya-Ransomware, der Stromausfall in der ukrainischen Hauptstadt Kiew und der Verstoß gegen das Pentagon , Cosy Bear, Sandworm Team und Berserk Bear.

Das russische APT-Ökosystem hat sich nicht nur stĂ€ndig erweitert, sondern auch zu einer sehr komplexen Struktur entwickelt, die es schwierig macht zu verstehen, wer wer in der russischen Cyberspionage ist.

Um das Gesamtbild zu veranschaulichen und allen das VerstĂ€ndnis der russischen Hacker und ihrer AktivitĂ€ten zu erleichtern, haben Wissenschaftler von Intezer und Check Point Research gemeinsam eine interaktive Webkarte entwickelt, die einen vollstĂ€ndigen Überblick ĂŒber dieses Ökosystem bietet.

Die als “russische APT-Karte” bezeichnete Karte kann von jedem verwendet werden, um Informationen zu Verbindungen zwischen verschiedenen russischen APT-Malware-Beispielen, Malware-Familien und Bedrohungsakteuren abzurufen – alles durch einfaches Klicken auf Knoten auf der Karte.

Karte der russischen Hacking-Gruppen

“Die Karte (Russian APT) ist im Grunde eine zentrale Anlaufstelle fĂŒr alle, die die Beziehungen und Attribute von Stichproben, Modulen, Familien und Akteuren, die zusammen dieses Ökosystem bilden, lernen und verstehen möchten”, so die Hacker News gegenĂŒber Forschern.

“Durch Klicken auf Knoten im Diagramm wird ein Seitenbereich mit Informationen zur Malware-Familie, zu der der Knoten gehört, sowie Links zu Analyseberichten auf der Intezer-Plattform und externen Links zu verwandten Artikeln und Veröffentlichungen angezeigt.”

Im Kern ist die russische APT-Karte das Ergebnis einer umfassenden Studie, in der Forscher ĂŒber 2.000 Malware-Beispiele gesammelt, klassifiziert und analysiert haben, die russischen Hacking-Gruppen zugewiesen wurden, und fast 22.000 Verbindungen zwischen ihnen auf der Grundlage von 3,85 Millionen gemeinsam genutzten Codes abgebildet haben.

„Jeder Akteur oder jede Organisation unter dem Dach von APT Russain verfĂŒgt ĂŒber eigene Malware-Entwicklungsteams, die seit Jahren parallel an Ă€hnlichen Toolkits und Malware-Frameworks arbeiten. In dem Wissen, dass viele dieser Toolkits denselben Zweck erfĂŒllen, ist eine Redundanz in dieser parallelen AktivitĂ€t festzustellen.

Die russische APT-Karte zeigt auch, dass wÀhrend die meisten Hacking-Gruppen ihren eigenen Code in ihren verschiedenen Tools und Strukturen wiederverwendeten, keine anderen Gruppen mit ihrem Code gefunden wurden.

“Indem sie die Wiederverwendung derselben Tools durch verschiedene Organisationen fĂŒr eine Vielzahl von Zwecken vermeiden, ĂŒberwinden sie das Risiko, dass eine gefĂ€hrdete Operation andere aktive Operationen aufdeckt, und verhindern, dass ein gefĂ€hrdetes Kartenhaus zusammenbricht”, sagen die Forscher.

“Eine andere Hypothese ist, dass verschiedene Organisationen aus internen GrĂŒnden keinen Code gemeinsam nutzen.”

Um es in Zukunft effizienter und aktueller zu gestalten, erhielten die Forscher auch Zugriff auf die Karte und die dahinter stehenden Daten.

DarĂŒber hinaus haben Forscher ein auf Yaras Regeln basierendes Scan-Tool namens “Russian APT Detector” veröffentlicht, mit dem jeder eine bestimmte Datei, einen Ordner oder ein gesamtes Dateisystem scannen und nach Infektionen durch russische Hacker suchen kann.