Rusko za poslední tři desetiletí provedlo celou řadu kybernetických špionáží a sabotáží. Od prvního veřejně známého útoku Moonlight Maze v roce 1996, přes úniky dat z Pentagonu v roce 2008, útok na Kyjev v roce 2016, hackování amerických voleb v roce 2016 až po některé z největších a nejničivějších kybernetických útoků v historii, jako jsme viděli například u ransomwaru NotPetya.

Mnoho ruských operací a malwarových rodin bylo odhaleno různými bezpečnostními společnostmi a zpravodajskými organizacemi, jako jsou FBI a EFIS (Estonian Foreign Intelligence Services). Ale i když máme informace o jednotlivých aktérech a operacích, celkový pohled nebyl jasný.

Výzkumný tým Check Point Research proto analyzoval celý ekosystém a interakce mezi jednotlivými aktéry. Bylo shromážděno, klasifikováno a analyzováno tisíce ruských vzorků APT (Advanced Persistent Threat) malwaru a rozkryto spojení nejen mezi vzorky, ale také mezi různými malwarovými rodinami a jednotlivými aktéry.

Během výzkumu bylo analyzováno přibližně 2 000 vzorků, objeveno 22 000 spojení mezi vzorky a nalezeno 3,85 milionu neunikátních částí kódů, které byly sdíleny. Vzorky byly rozřazeny do 60 rodin a 200 různých modulů. Bylo to pravděpodobně poprvé, kdy došlo k takto rozsáhlému a detailnímu výzkumu a kdy byl rozklíčován jeden z nejaktivnějších a nejpokročilejších kyberšpionážních ekosystémů.

Analýza jasně ukázala, že části kódů, jako jsou funkce, moduly a šifrovací schémata, jsou sdílené napříč týmy a projekty v jedné útočné kyberskupině. Tyto informace mohou naznačovat, že různé týmy, které patří do stejné organizace, vzájemně znají svou práci a operace. Společným sdílením kódu mohou týmy ušetřit stovky hodin práce a spoustu peněz. Namísto re-implementace funkcí, které již existují, se týmy mohou zaměřit na jiné věci a znovu použít kód už existující. Další výhodou znovu-použití kódu je, že již byl s největší pravděpodobností otestován v kybernetických operacích v reálném nasazení a tým, který jej vyvinul, měl zkušenosti s jeho používáním a zlepšováním. Na druhou stranu hrozí riziko, že když bezpečnostní společnosti takový kód odhalí, lze pomocí něj najít další vzorky a malwarové rodiny. Jedna detekovaná rodina tak může ohrozit více operací.

Z analýzy také vyplynulo, že kódy nejsou sdílené mezi jednotlivými aktéry. Nebyl dokonce objeven ani jeden případ, kdy by různé skupiny sdílely stejný kód. Je to velmi zajímavé a neočekávané. I když nemůžeme s jistotou vědět, co vede organizace v ruském APT ekosystému k podobnému nesdílení kódů, můžeme vytvořit několik hypotéz.

Rusko je jednou z nejpokročilejších a nejsilnějších zemí, co se týče kyberšpionáží, takže možnou variantou je, že si uvědomuje nevýhody sdílení kódu. Zabrání se tak opakovanému využití stejných nástrojů různými organizacemi a minimalizuje riziko, že jedna odhalená operace odhalí další aktivní operace a zhroutí se celý citlivý systém. Pak ale musí Rusko investovat obrovské množství peněz a lidské síly do psaní podobného kódu znovu a znovu, místo sdílení nástrojů, knihoven a rámců. Ale zase by to naznačovalo, že operační bezpečnost má pro ruské kyberskupiny neocenitelný význam.

Další hypotézou je, že různé organizace nesdílí kód z vnitropolitických důvodů. Výzkumný tým ale není dostatečně obeznámen s politikou a vztahy mezi ruskými zpravodajskými organizacemi, takže tuto hypotézu je potřeba brát opatrně.

Zdroj: Check Point