Bản đồ APT của Nga tiết lộ 22.000 kết nối giữa 2000 mẫu malware khác nhau

Trong những năm gần đây, nhiều nhóm hacker của Nga nổi lên như những chủ thể tinh vi nhất trong không gian mạng. Các nhóm này liên tục nghiên cứu các kỹ thuật mới, cũng như sản xuất ra các bộ công cụ ưu việt nhằm phục vụ cho các hoạt động gián điệp mạng.  



Ba thập kỷ trôi qua, rất nhiều sự cố xâm nhập dữ liệu gây chấn động được cho là có liên quan tới các nhóm hacker có nguồn gốc từ Nga, chẳng hạn như các cuộc bầu cử Tổng thống Mỹ , tấn công các quốc gia sử dụng ransomware NotPetya , gây mất điện cục bộ ở Thủ đô Kieve của Ukraina hay sự cố vi phạm dữ liệu của Lầu Năm Góc . Các nhóm bị cáo buộc bao gồm Fancy Bear (Sofacy), Turla , Cozy Bear, Sandworm Team và Berserk Bear.



Bên cạnh việc liên tục nâng tầm khả năng trong các cuộc chiến tranh mạng,
hệ sinh thái các nhóm APT (Advanced Persistent Threat – Tấn công dai dẳng và
có chủ đích vào một thực thể ) của Nga cũng đã phát triển thành một cấu trúc
rất phức tạp, khiến cho việc phát hiện các đối tượng và vai trò cụ thể là vô cùng
khó khăn.



Bản đồ APT của Nga



Giờ đây để minh họa cho một bức tranh rộng lớn và giúp mọi người hiểu rõ hơn về các nhóm hacker của Nga cũng như hoạt động của họ, các nhà nghiên cứu từ Intezer và Check Point Research đã cùng nhau phát hành một bản đồ tương tác dưới dạng web (web-based) cung cấp tổng quan đầy đủ về hệ sinh thái này.



Được đặt tên là “Bản đồ APT của Nga” ( Russian APT Map ) , bất kỳ ai cũng có thể sử dụng bản đồ này để tìm hiểu thông tin về các kết nối giữa các mẫu (sample), các họ (family) malware APT khác nhau và các tác nhân đe dọa (threat actor). Chỉ cần nhấp vào các nút trên bản đồ, bất cứ ai quan tâm cũng có thể thấy được các thông tin này.



Các nhà nghiên cứu cho biết bản đồ về cơ bản cung cấp tất cả những thông
tin cần thiết cho bất kỳ ai muốn tìm hiểu về các kết nối và phân bổ của các mẫu,
mô-đun, họ malware và các tác nhân cùng tạo nên hệ sinh thái này.



Bằng cách nhấp vào các nút trong biểu đồ, bảng điều khiển bên (side
panel) sẽ tiết lộ các thông tin về họ malware mà nút đó thuộc về, cũng như
các liên kết đến báo cáo phân tích trên nền tảng của Intezer và các liên kết
bên ngoài chuyển hướng đến các bài báo và ấn phẩm liên quan.



Bản đồ chứa gần 22.000 kết nối



Về cơ bản thì bản đồ APT của Nga là kết quả của nghiên cứu toàn diện sau
khi các nhà nghiên cứu đã thu thập, phân loại và phân tích hơn 2.000 mẫu malware
được cho là được sử dụng bởi các nhóm hacker của Nga, sau đó lập ra bản đồ chứa
gần 22.000 kết nối dựa trên 3,85 triệu đoạn mã mà chúng chia sẻ.



Mỗi tác nhân hoặc tổ chức dưới cái ô APT của Nga đều có các
nhóm phát triển malware riêng biệt hoạt động trong nhiều năm, có thể tồn tại song
song trên các khung (framework) và bộ công cụ malware tương tự nhau.



Các nhóm hacker sử dụng mã riêng



Bản đồ APT của Nga cũng tiết lộ rằng mặc dù hầu hết các nhóm hacker
đang sử dụng lại mã của chính mình trong các công cụ và khung khác nhau, nhưng chưa
thấy trường hợp có nhóm nào dùng mã của các nhóm khác.



Các nhà nghiên cứu cho biết bằng cách tránh các tổ chức khác nhau sử dụng
lại cùng một công cụ trên một loạt các mục tiêu, họ đã khắc phục được rủi ro khi
một hoạt động bị xâm phạm sẽ làm lộ ra các hoạt động khác.



Một giả thuyết khác được đưa ra đối với việc các tổ chức
khác nhau không chia sẻ mã cho nhau là vì có liên quan tới các vấn đề chính trị
nội bộ.



Để khiến cho bản đồ trở nên hiệu quả và cập nhật hơn trong tương lai, các nhà nghiên cứu cũng đã mở nguồn (open-sourced) bản đồ và dữ liệu đằng sau nó. Bên cạnh đó, các nhà nghiên cứu cũng đã phát hành một công cụ quét dựa trên quy tắc Yara, được đặt tên là “Máy dò APT của Nga” ( Russian APT Detector ) . Bất kỳ ai cũng có thể sử dụng để quét một tệp, một thư mục cụ thể hoặc toàn bộ hệ thống để tìm ra các hành vi xâm nhập và lây nhiễm của tin tặc Nga.



THN
The post Bản đồ APT của Nga tiết lộ 22.000 kết nối giữa 2000 mẫu malware khác nhau appeared first on SecurityDaily .