聚焦源代码安全,网罗国内外最新资讯!
近年来,很多俄罗斯黑客组织都成为网络空间最为复杂的国家黑客行动者,创造了很多用于实施网络间谍行为的高度复杂的黑客技术和工具集。
三十年来,很多高级别的黑客事件如干预美国总统大选、实施 NotPetya 勒索软件攻击、引发乌克兰首都基辅大面积停电事故以及入侵五角大楼等等都被认为是由俄罗斯黑客组织实施的,它们包括 Fancy Bear (Sofacy)、Turla、Cozy Bear、Sandworm Team 和 Berserk Bear。
除了继续扩展其网络战争能力外,俄罗斯 APT 组织的生态系统已逐渐成长为一个非常复杂的结构,使得人们对于俄罗斯网络间谍活动的幕后组织的理解更为困难。
研究人员收集、归类并分析了源自俄罗斯黑客组织的2000多个恶意软件样本并映射了基于他们所分享的385万行代码的近2.2万个连接,由此形成了综合研究成果 Russian APT Map。
研究人员指出,“每个Russian APT 组织机构都有专属的恶意软件开发团队,他们多年来都平行开发类似的恶意软件工具集和框架。由于很多工具集都服务于相同的目的,因此很可能从他们平行的开发活动中发现冗余情况。”
Russian APT Map 还显示,尽管多数黑客组织都在不同的工具和框架中复用自己的代码,但不同的黑客组织之间并未共享代码。
研究人员指出,“为了避免不同的组织机构在攻击大量目标时使用相同的工具,他们克服了某次被攻陷行动会暴露其它活动行动的风险,从而阻止了全部覆灭的危险。另外一种假设是,不同的组织机构出于政治原因并不共享代码。”
为了使该地图更加有效并持续更新,研究人员已公开该地图及其背后的数据。
此外,研究人员还发布了基于 Yara 规则的扫描工具“Russian APT Detector(俄罗斯 APT 检测器)”供任何用户扫描某个具体的文件、文件夹或整个文件系统并搜索俄罗斯黑客造成的感染。
Russian APT Map 地址:
https://apt-ecosystem.com/russia/map/
Russian APT Map 及数据开源地址:
https://github.com/ITAYC0HEN/APT-Ecosystem
Russian APT Detector 地址:
https://github.com/ITAYC0HEN/APT-Ecosystem/tree/master/russia/detector
美国对俄罗斯实施制裁,理由是NotPetya、电力网和大选攻击
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。