Check Point Research nahm das russische APT (Advanced Persistent Threat)-Ökosystem unter die Lupe. Gemeinsam mit Intezer gelang es dem Sicherheitsforschern erstmals, eine umfangreiche Übersicht russischer Bedrohungs-Akteure zu erstellen. Die Intezer-Technologie erkennt Code-Ähnlichkeiten und ermöglichte somit, Verbindungen zwischen Malware-Familien herzustellen und auf ihre Herkunft zu schließen.
Ungewohnt deutlich ließen sich dabei die Zusammenhänge zwischen verschiedenen Malware-Typen, Angriffen und russischen Bedrohungs-Akteuren zeigen - Stichwort ‚Attribution‘, also wer steckt wirklich hinter dem erkannten Angriff. Auf diese Weise gelang es erstmal in einem umfangreichen Ausmaß, eine Übersicht des russischen ATP-Ökosystems zu erstellen.
„Nachforschungen wie diese helfen dabei, aus Vermutungen endlich Gewissheiten zu machen. Im Falle der russischen Malware-Attacken ist nun erstmals eine Kartierung verschiedener Angriffs-Typen möglich,“ erklärt Dirk Arendt, Leiter Public Sector & Government Relations bei Check Point Software Technologies.
Eine der wichtigsten Erkenntnisse der Sicherheitsforscher:
Die russischen Hacker benutzen zwar innerhalb einer Organisation den selben Code, teilen ihn aber nicht zwischen verschiedenen Gruppierungen. Es gibt daher keine Standard-Software, -Bibliothek oder -Framework. Das bedeutet, das Russland viel Wert auf die eigene Cyber-Sicherheit und Unbekanntheit legt, da auf diese Weise mit sehr viel Aufwand das Risiko ausgeschlossen wird, dass eine entdeckte Operation zu einem Domino-Effekt von Enttarnungen führen kann.
Da jeder Akteur aus diesem Grund aber seine eigenen Entwickler besitzt, die über Jahre an ähnlichen Malware-Typen arbeiten, zeigte sich hier eine gewisse, verfolgbare, Redundanz. So konnten bislang vermutete Verbindungen zwischen verschiedenen Malware-Familien und Angriffen endlich bestätigt werden.