Una ricerca congiunta di Check Point e Intezer ha svelato i meccanismi alla base delle azioni firmate dai gruppi di cyber spionaggio russi.
I gruppi di Cyber Spionaggio russi
La Russia è nota per aver firmato, negli ultimi tre decenni, diverse operazioni di cyber spionaggio e sabotaggio, arrivando perfino a prendere di mira un intero Paese con i ransomware NotPetya.
Autori di questi attacchi sono, ad esempio, Turla, Sofacy, e APT29, ovvero alcuni tra i più sofisticati e famosi gruppi Advanced Persistent Threat (APT).
Questi ultimi rappresentano dei gruppi che, sfruttando anche la sponsorizzazione dello stato, riescono ad ottenere l’accesso non autorizzato ad una rete di computer, per poi attuare al suo interno delle operazioni enormi e complicate rimanendo inosservati per lunghi periodi.
[amazon_link asins=’B074SP8KYW,B016LPIIBA,B016BIQSM8′ template=’ProductCarousel’ store=’gamspri02-21′ marketplace=’IT’ link_id=’3d619508-eeb7-4851-b4a8-31bc066de13a’]L’analisi di Check Point e Intezer
Nonostante le informazioni sui singoli gruppi di cyber spionaggio russi siano molte, queste ultime non sono comunque abbastanza da rendere semplice la comprensione delle loro tattiche, procedure e tecniche.
A tentare di porre rimedio è stata la ricerca svolta da Check Point e Intezer, che hanno così raccolto, classificato e analizzato migliaia di campioni di malware dei gruppi APT russi al fine di trovare connessioni tra i vari autori.
L’analisi dei dati ottenuti ha portato alla luce diverse interazioni ed evidenze tra cui, in primis, la mancata condivisione del codice tra gli autori degli attacchi: ogni gruppo sfrutterebbe infatti quest’ultimo in diverse operazioni, ma senza mai fornirlo ad altri.
In secondo luogo lo studio ha rivelato come ogni gruppo sia dotato dei propri team di sviluppo malware dedicati, impegnati a lavorare per anni in parallelo su toolkit e framework malware simili.
Risultati simili suggeriscono un enorme investimento della Russia nel campo della sicurezza operativa, attuati nel tentativo di evitare che operazioni compromesse possano esporne altre attualmente attive.
I dati ottenuti hanno spinto Check Point ha rilasciare una serie di strumenti utilizzabili dalla comunità di ricerca, come mappe interattive delle connessioni tra decine di famiglie APT russe e i loro componenti, o strumenti per per scansionare un host o un file e individuare la presenza di eventuali pezzi di codice già noti.