Хакер #305. Многошаговые SQL-инъекции
Исследователи Check Point и Intezer Labs представили результат своих совместных трудов. Аналитики компаний изучили порядка 2000 экземпляров малвари, чтобы создать интерактивную карту связей между русскоязычными группами «правительственных хакеров». Исследователи объясняют, что экосистема русскоязычных APT (advanced persistent threat) развилась в очень сложную структуру и сейчас совсем трудно разобраться, кто есть кто в российском кибершпионаже.
Исследование специалистов выявило более 22 000 связей и 3,85 млн частей кода, которые различные вредоносы делят между собой. В итоге специалисты пришли к выводу, что российские APT редко делятся кодом друг с другом. По мнению исследователей, нечастые случаи повторного использование кода обычно имеют место в рамках одной разведывательной службы. Из этого аналитики делают вывод, что три основных российских агентства (ФСБ, ГРУ и СВР), отвечающие за кибероперации за рубежом, практически не сотрудничают друг с другом в ходе своих кампаний.
Исследователи полагают, что правительство намеренно стимулировало конкуренцию между спецслужбами, которые работают независимо друг от друга и конкурируют за средства. В итоге каждая группа годами разрабатывает и накапливает собственные инструменты и не делится ими с коллегами, что является обычной практикой для «правительственных хакеров» из Китая и Северной Кореи.
«Хотя каждая группа действительно повторно использует свой код в различных операциях и различных семействах вредоносного ПО, не существует единого инструмента, библиотеки или инфраструктуры, которые совместно используются разными группировками, — пишут эксперты. — Избегая повторного использования одних и тех же инструментов разными организациями против широкого спектра целей, они минимизируют риск того, что одна скомпрометированная операция потянет за собой и другие активные кампании».
Аналитики признают, что не изучали весь код слишком скрупулезно, так как речь шла о тысячах образцов. Но, выделив очевидные кластеры вредоносов, удалось понять, что некоторые из них (например, ComRAT, Agent.BTZ и Uroburos), представляют собой эволюцию семейства малвари на протяжении многих лет.
Помимо уже упомянутой выше интерактивной карты специалисты также представили специальный инструмент, работающий с сигнатурами, с помощью которого можно осуществить сканирование любого хоста или файла на предмет часто используемых фрагментов кода за авторством российских хак-групп. Этот инструмент призван помочь организациям определить, заражены ли они вредоносным ПО, имеющим связь с малварью русскоязычных APT.