Análise de 2 mil amostras de malware APT encontrou mais de 22 mil conexões com organizações militares e governamentais russas
Análise de aproximadamente 2 mil amostras de ameaças persistentes avançadas (APTs, na sigla em inglês) atribuídas à Rússia encontrou mais de 22 mil conexões, além de 3,85 milhões de peças de código compartilhadas entre diferentes organizações. É o que constatou estudo da equipe de pesquisadores da Check Point Software e da Intezer.
Os ataques são parte de um cenário mais amplo em que a Rússia desponta também como potência na guerra cibernética. As ferramentas avançadas e infraestruturas robustas sugerem operações complexas que poderiam envolver diferentes entidades militares e governamentais russas.
A Rússia é reconhecida como potência também na esfera cibernética devido a um elevado número de operações de espionagem e sabotagem executadas durante os últimos 30 anos. Entre as operações destacam-se o Moonlight Maze, de 1996, a falha de segurança do Pentágono, em 2008, e o hackeamento nas eleições dos EUA de 2016. Os ataques russos estiveram por trás dos maiores e mais famosos ataques da história, colapsando todo um país com o ransomware NotPetya.
Por meio das análises foi possível encontrar indícios de que o código de alguns dos principais ciberataques foi presumivelmente compartilhado entre diferentes entidades militares, governamentais e de inteligência russas. A investigação reforça a teoria de que a Rússia poderá estar investindo em um grande esforço no desenvolvimento de novas ferramentas como ciberarmas.
As conexões analisadas pela Check Point mostram claramente que pedaços de código como funções, módulos completos ou parciais, e esquemas de encriptação foram compartilhadas entre diversas equipes e projetos do mesmo agente ou atacante, fazendo as equipes pouparem centenas de horas de trabalho e muito dinheiro visto que, em vez de voltar a implementar as funcionalidades já existentes, podiam se concentrar em outras tarefas e reutilizar o código.
A análise da Check Point e da Intezer assegura que nenhuma das conexões compartilhava fragmentos de código com mais de duas organizações. Isso significa que a Rússia conta com um dos sistemas de ferramentas cibernéticas mais avançadas e sólidas do mundo. Ao evitar que diferentes organizações reutilizem de forma exclusiva as mesmas ferramentas para uma vasta lista de objetivos, anulam o risco de uma operação comprometida que exponha a outras que se encontrem ativas, impedindo, assim, que se confundam com outras atividades.
Segundo essa análise, a Rússia estará disposta a investir elevadas quantias e mão de obra para escrever código similar, em vez de compartilhar ferramentas, bibliotecas, o que criaria redundância com a atividade paralela. Portanto, se isso for verdade, a segurança operacional tem um significado inestimável para os agentes ou atacantes russos.