提起武力值满满的APT组织,许多人的第一反应就是美国、俄罗斯等一些网络强国。不过呢,国家不同,APT组织的特点就不一样,甚至在某些地方截然相反。

技术牛、武器多、还低调的美国APT组织咱就不多说了,毕竟如果美国说自己的APT组织能力第二,还有谁敢说自己是第一?今天我们一起说道说道与美国同为第一梯队的俄罗斯APT组织。

如果说美国APT组织是一个低调的、不显山露水的高富帅,那俄罗斯APT组织就是一个张扬的富二代。俄罗斯的APT组织就有很多高调的,大手笔的作为了,而且往往政治目非常明显,攻击注重实效,不出手则已一出手或可改变世界格局。

在过去的三十年中,俄罗斯进行了广泛的网络间谍和破坏活动。从1996年Moonlight Maze的首次公开攻击开始,在2008年入侵了五角大楼,2016 年攻击基辅,2016年入侵美国大选,还有一些历史上一些著名的网络攻击事件。

此处不得不提的就是2014年被发现的APT28组织了,目前普遍认为其身后的大佬是俄罗斯军事情报机构(GRU)。如果你对这个组织不那么熟悉,可以百度一下直接改变世界历史走向希拉里邮件门事件,这个组织还曾帮助亲俄分裂分子追踪乌克兰部队,造成炮兵部队损失一半以上武器,是迄今为止对全球政治、历史发展影响最大的网络攻击组织,真的瑞斯拜。

虽然各个安全厂商对某一个APT组织研究得很透彻,但对俄罗斯APT组织的生态系统缺乏了解。有问题不要紧,发现了问题就要去解决问题。Check Point和Intezer联合进行了一次调查,分析了与俄罗斯APT组织相关的大约2000个恶意软件样本,发现样本之间存在22,000中联系,并且样本之间共享了385万条代码。

为了得出结论,研究人员对恶意软件样本进行了收集和分类,分析了样本之间的代码相似性,然后确定它们之间的联系。

主要发现

  • 不同的APT组织之间不会共享代码或框架;

  • 俄罗斯APT组织在不同的活动以及不同的恶意软件家族之间会重复使用其代码;

  • 每个俄罗斯APT组织都有自己专门的恶意软件开发团队,并在其操作安全性上投入了大量精力。

研究人员认为,拥有先进且强大的网络间谍功能的俄罗斯了解代码共享的缺点,所以它们尽量避免不同的组织重复使用相同的工具,降低了因为一个攻击活动暴露而牵连出其它攻击活动的风险。

近年来,APT攻击事件此起彼伏,APT攻击以其无孔不入的触角延伸到了全世界各地,几乎所有的重要行业如政府、金融、电力、教育都受到了APT攻击的威胁。神秘的APT攻击从攻击开始到达成目的,有的甚至可能潜伏长达数年,对APT组织的未知导致人们在面临APT攻击时的茫然无措。

声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。