top of page

Ces hackers russes ne sont pas très généreux entre eux

Ces hackers russes ne sont pas très généreux entre eux

Pas partageurs les hackers russes ? Selon un rapport rédigé conjointement par Check Point et Intezer Labs, les groupes de pirates informatiques parrainés par l’État russe partagent rarement leur code entre eux, et lorsqu’ils le font, c’est généralement au sein de groupes gérés par le même service de renseignement. Selon cette étude, basée sur près de 2 000 échantillons de logiciels malveillants qui étaient auparavant liés à des groupes de pirates informatiques parrainés par l’État russe, seules 22 000 connexions et 3,85 millions d’éléments de code ont été partagés entre les souches de logiciels malveillants.

De fait les groupes de pirates russes ne partagent généralement pas de code entre eux, comme le font observer les deux sociétés, qui avancent que, dans les rares cas où ils le font, la réutilisation des codes se produit généralement au sein du même service de renseignement, ce qui montre que les trois principales agences russes chargées des opérations de cyberespionnage à l’étranger ne collaborent pas à leurs campagnes.

Les conclusions du rapport viennent confirmer des enquêtes journalistiques antérieures sur des cyber-opérations russes, mais aussi des rapports d’autres services de renseignement étrangers. Ces rapports précédents révèlent que toutes les opérations de cyberespionnage de la Russie peuvent être retracées et attribuées à trois services de renseignement – le FSB (Service fédéral de sécurité), le SVR (Foreign Intelligence Service) et le GRU (Main Intelligence Directorate for Russia’s military) – qui ne collaborent ni ne se coordonnent entre eux.

De fait, le gouvernement russe, a beaucoup encouragé la concurrence entre les trois agences, qui fonctionnent indépendamment les unes des autres et se disputent les fonds. En conséquence, chaque groupe a développé et thésaurisé ses outils, plutôt que de les partager avec ses homologues, ce qui est fréquent chez les pirates informatiques chinois et nord-coréens parrainés par l’État. “Chaque acteur ou organisation sous l’égide de Russian APT dispose de ses propres équipes de développement de logiciels malveillants, qui travaillent depuis des années en parallèle sur des outils et des cadres similaires”, ont fait savoir les chercheurs de Check Point et Intezer Labs en conclusion de leur rapport.

Aucune bibliothèque unifiée entre les trois services de renseignement russes

“Bien que chaque acteur réutilise son code dans différentes opérations et entre différentes familles de logiciels malveillants, il n’existe pas d’outil, de bibliothèque ou de cadre unique qui soit partagé entre différents acteurs”, expliquent-ils également, affirmant que leurs résultats suggèrent que l’appareil de cyberespionnage de la Russie investit beaucoup d’efforts dans ses activités opérationnelles. “En évitant que différentes organisations réutilisent les mêmes outils sur un large éventail de cibles, elles surmontent le risque qu’une opération compromise expose d’autres opérations actives”, ont ainsi déclaré les auteurs de cette étude qui en dit long sur le fonctionnement de l’appareil d’Etat russe.

“Une recherche d’une telle ampleur, pour cartographier les connexions de code à l’intérieur d’un écosystème entier, n’avait jamais été faite auparavant”, s’est réjoui Itay Cohen, un chercheur en sécurité de Check Point à ZDNet dans un courriel. “Nous n’avons pas analysé la nature de chaque code puisque nous parlons de milliers d’échantillons”, ajoute ce dernier. “Nous pouvons dire que les grappes évidentes que nous voyons dans notre cartographie peuvent nous dire que chaque organisation travaille séparément, du moins sur le plan technique. Certains clusters, comme celui de ComRAT, Agent.BTZ et Uroburos, représentent l’évolution d’une famille de logiciels malveillants au fil des ans”.

L’équipe de recherche a lancé aujourd’hui un site Web avec une carte interactive pour mettre en évidence les liens entre les échantillons de logiciels malveillants russes des groupes de hackers russes qu’elle a analysés. Ils ont également publié un outil basé sur la signature pour analyser un hôte ou un fichier contre les morceaux de code les plus couramment réutilisés par les APT russes. Cet outil devrait aider les entreprises à détecter si elles ont été infectées par des logiciels malveillants qui ont des liens (code partagé) avec d’anciennes souches de logiciels malveillants russes APT.

Article “Russian state hackers rarely share code with one another” traduit et adapté par ZDNet.fr

1 vue0 commentaire

Comments


bottom of page