Aunque Rusia todavía tiene una economía estancada y sin diversificar, fue uno de los primeros países del mundo en darse cuenta del valor de las intrusiones cibernéticas realizadas de forma remota.

En los últimos años, muchos grupos de piratería rusos se han convertido en uno de los actores de estado-nación más sofisticados en el ciberespacio, produciendo técnicas de piratería y conjuntos de herramientas altamente especializados para el espionaje cibernético.

En las últimas tres décadas, muchos incidentes de piratería de alto perfil, como la piratería de las elecciones presidenciales de EE. ), Turla, Cozy Bear, Sandworm Team y Berserk Bear.

Además de expandir continuamente sus capacidades de guerra cibernética, el ecosistema de grupos APT rusos también se ha convertido en una estructura muy compleja, lo que dificulta entender quién es quién en el espionaje cibernético ruso.

Ahora, para ilustrar el panorama general y facilitar que todos comprendan a los piratas informáticos rusos y sus operaciones, los investigadores de Intezer y Check Point Research unieron sus manos para lanzar un mapa interactivo basado en la web que brinda una descripción completa de este ecosistema.

Apodado «Mapa APT ruso», cualquiera puede usar el mapa para obtener información sobre las conexiones entre diferentes muestras de malware APT ruso, familias de malware y actores de amenazas, todo simplemente haciendo clic en los nodos del mapa.

«Los [Russian APT] map es básicamente una ventanilla única para cualquiera que esté interesado en aprender y comprender las conexiones y atribuciones de las muestras, módulos, familias y actores que juntos componen este ecosistema «, dijeron los investigadores a The Hacker News.

«Al hacer clic en los nodos en el gráfico, se revelará un panel lateral que contiene información sobre la familia de malware a la que pertenece el nodo, así como enlaces a informes de análisis en la plataforma de Intezer y enlaces externos a artículos y publicaciones relacionados».

En esencia, el Mapa APT de Rusia es el resultado de una investigación exhaustiva en la que los investigadores recopilaron, clasificaron y analizaron más de 2000 muestras de malware atribuidas a grupos de piratería rusos y mapearon casi 22 000 conexiones entre ellos en función de 3,85 millones de piezas de código que compartieron.

«Cada actor u organización bajo el paraguas de Russain APT tiene sus propios equipos de desarrollo de malware dedicados, trabajando durante años en paralelo en marcos y conjuntos de herramientas de malware similares. Sabiendo que muchos de estos conjuntos de herramientas tienen el mismo propósito, es posible detectar redundancia en este actividad paralela.”

Russian APT Map también revela que, aunque la mayoría de los grupos de piratería estaban reutilizando su propio código en sus propias herramientas y marcos diferentes, no se encontraron grupos diferentes que usaran el código de los demás.

«Al evitar que diferentes organizaciones reutilicen las mismas herramientas en una amplia gama de objetivos, superan el riesgo de que una operación comprometida exponga otras operaciones activas, evitando que se derrumbe un castillo de naipes sensible», dicen los investigadores.

«Otra hipótesis es que diferentes organizaciones no comparten código debido a políticas internas».

Para hacerlo más eficiente y actualizado en el futuro, los investigadores también han abierto el mapa y los datos detrás de él.

Además de esto, los investigadores también lanzaron una herramienta de escaneo basada en reglas de Yara, denominada «Detector APT ruso», que cualquiera puede usar para escanear un archivo específico, una carpeta o un sistema de archivos completo y buscar infecciones por parte de piratas informáticos rusos.