L’analyse du code des malwares utilisés par ces pirates fait apparaître plusieurs groupes cloisonnés, derrière lesquelles se cachent probablement les différentes agences gouvernementales de la fédération russe.
APT 28, APT 29, Turla, Snake, BlackEnergy… les hackers qui œuvrent pour le compte de l’État russe font partie des meilleurs pirates de la planète. Ils sont sponsorisés par les agences de renseignement russes — FSB, GRU, SVR — et ont lancé de nombreuses opérations sophistiquées ces dernières années.
Toute cette activité peut désormais être visionnée au moyen d’une carte interactive créée par les chercheurs en sécurité d’Intezer et de Check Point. Pour générer ce graphique, qui est le premier du genre, ces experts ont analysé plus de 2 000 exemplaires de malwares attribués par le passé à des hackers russes. Ces logiciels malveillants ont ensuite été liés les uns aux autres en s’appuyant sur les similitudes détectées dans les codes. Au final, les chercheurs ont trouvé plus de 22 000 connexions entre les différents malwares. Le réseau qui en résulte, après simplification, fait apparaître 200 modules regroupés dans 60 familles.
L’avantage de cette représentation, qui s’appuie sur l’outil open source Gephi, est qu’elle fait apparaître immédiatement les liens entre les différentes familles de malwares, et donc contribue à l’analyse et à l’attribution de ces opérations. Par exemple, elle relie directement le groupe BlackEnergy, qui a saboté les infrastructures électriques en Ukraine à une série d’outils d’espionnage attribués à APT 29 (CosmicDuke, MiniDuke, PinchDuke, GeminiDuke).
Toutefois, certains groupes de familles ne se touchent jamais. Le graphique fait donc apparaître quelques grands ensembles qui évoluent de manière indépendante. D’après les chercheurs, cela semble indiquer que chaque acteur ou organisation dispose de ses propres équipes de développement. La raison d’un tel cloisonnement peut être multiple. Cela peut être fait de manière volontaire pour réduire le risque d’une compromission générale des activités d’espionnage. C’est peut-être aussi la conséquence d’une concurrence acerbe entre les différentes agences.
Source: Intezer