Check Point ve Intezer Labs ortaklaşa yaptıkları bir çalışmada kötü amaçlı yazılım örneklerinin birbirleriyle nasıl ilişkili olduğu hakkında bir fikir edinmek için, daha önce Rusya devlet destekli hack gruplarına bağlanan yaklaşık 2.000 kötü amaçlı yazılım örneğini analiz etmiş [1].
Araştırmaları 22.000 bağlantı ve kötü amaçlı yazılım türleri arasında paylaşılan 3.85 milyon kod parçasını araştırmış. Bu geniş araştırmanın en ilginç sonucu, Rus APT’lerin (ileri düzey kalıcı tehdit) genellikle birbirleriyle kod paylaşmadıklarının ortaya çıkması olmuş.
Ayrıca, kodun yeniden kullanımının görüldüğü ender durumlar, aynı istihbarat servisinde gerçekleşmiş. Rusya’nın yabancı siber casusluk operasyonlarından sorumlu üç ana kurumun işbirliği yapmadığı görülmüş.
Önceki raporlar, tüm Rusya’nın siber casusluk operasyonlarının izlenebileceğini ve üç istihbarat servisinin (FSB (Federal Güvenlik Servisi), SVR (Dış İstihbarat Servisi) ve GRU (Rusya ordusu Ana İstihbarat Müdürlüğü) olduğunu göstermişti. İşte bunlar birbiriyle işbirliği yapmıyorlar.
Birbirinden bağımsız olarak faaliyet gösteren üç Rus devlet kurumunun aynı zamanda birbiriyle rekabet ettiği kaydediliyor. Halbuki Çinli ve Kuzey Kore devlet destekli bilgisayar korsanlarının araçlarını ve kodlarını paylaştıkları görülüyor.
Araştırmada “Rus APT oyuncu veya kuruluşları, yıllardır kendi kötü amaçlı yazılım araçlarına ve kendilerine özgü kötü amaçlı yazılım geliştirme ekiplerine sahip. Her oyuncu kodunu farklı işlemlerde ve farklı kötü amaçlı yazılım aileleri arasında yeniden kullanıyor olsa da, farklı oyuncular arasında paylaşılan tek bir araç, kütüphane veya çerçeve yoktur” tespiti yer alıyor.
Araştırma ekibi, analiz ettikleri Rus APT kötü amaçlı yazılım örnekleri arasındaki bağlantıları vurgulamak için etkileşimli bir harita içeren bir web sitesi yayınladı[2].
Ayrıca , Rus APT’ler tarafından en sık kullanılan kod parçalarına karşı bilgisayarı veya dosyayı taramak için imza tabanlı bir araç yayınladılar. Bu araç, kuruluşların daha eski Rus APT kötü amaçlı yazılım türleriyle bağları olan (paylaşılan kod) kötü amaçlı yazılımdan etkilenmiş olup olmadıklarını tespit etmelerine yardımcı oluyor.
[1] Intezer Labs
[3] Tarama Aracı