Turla, Sofacy a APT29 představují nebezpečné a sofistikované APT skupiny, které jsou součástí ruského ekosystému kybernetických útoků. Jak uvádí studie společnosti Check Point, pokročilé nástroje, jedinečné přístupy a robustní infrastruktura naznačují rozsáhlé a komplikované operace, které zahrnují různé ruské vojenské, vládní a zpravodajské subjekty.
Výzkumný tým Check Point Research nyní analyzovat celý ekosystém a interakce mezi jednotlivými aktéry. Podle tiskové zprávy bylo shromážděno, klasifikováno a analyzováno tisíce ruských vzorků APT (Advanced Persistent Threat) malwaru a rozkryto spojení nejen mezi vzorky, ale také mezi různými malwarovými rodinami a jednotlivými aktéry. Během výzkumu bylo analyzováno přibližně 2 000 vzorků, objeveno 22 000 spojení mezi vzorky a nalezeno 3,85 milionu neunikátních částí kódů, které byly sdíleny. Vzorky byly rozřazeny do 60 rodin a 200 různých modulů.
Analýza údajně ukázala, že části kódů, jako jsou funkce, moduly a šifrovací schémata, jsou sdílené napříč týmy a projekty v rámci jedné útočné kyberskupiny. Tyto informace mohou naznačovat, že různé týmy, které patří do stejné organizace, vzájemně znají svou práci a operace. Společným sdílením kódu mohou týmy ušetřit stovky hodin a spoustu peněz. Namísto re-implementace funkcí, které již existují, se týmy mohou zaměřit na jiné věci a znovu použít kód už existující. Další výhodou znovupoužití kódu je, že již byl s největší pravděpodobností otestován v kybernetických operacích v reálném nasazení a tým, který jej vyvinul, měl zkušenosti s jeho používáním a zlepšováním. Na druhou stranu hrozí riziko, že když bezpečnostní společnosti takový kód odhalí, lze pomocí něj najít další vzorky a malwarové rodiny. Jedna detekovaná rodina tak může ohrozit více operací.
Z analýzy Check Point také vyplynulo, že kódy nejsou sdílené mezi jednotlivými aktéry. Nebyl dokonce objeven ani jeden případ, kdy by různé skupiny sdílely stejný kód. Je to velmi zajímavé a neočekávané. I když nemůžeme s jistotou vědět, co vede organizace v ruském APT ekosystému k podobnému nesdílení kódů, můžeme vytvořit několik hypotéz.
Rusko je jednou z nejpokročilejších a nejsilnějších zemí, co se týče kyberšpionážních akcí, takže možnou variantou je, že si uvědomuje nevýhody sdílení kódu. Zabrání se tak opakovanému využití stejných nástrojů různými organizacemi a minimalizuje riziko, že jedna odhalená operace odhalí další aktivní operace a zhroutí se celý citlivý systém. Pak ale musí Rusko investovat obrovské množství peněz a lidské síly do psaní podobného kódu znovu a znovu, místo sdílení nástrojů, knihoven a rámců. Ale zase by to naznačovalo, že operační bezpečnost má pro ruské kyberskupiny neocenitelný význam. Další hypotézou je, že různé organizace nesdílí kód z vnitropolitických důvodů, uvádí Check Point.