Las compañías han analizado 2.000 muestras de malware APT, encontrando más de 22.000 conexiones con organizaciones de ciberespionaje y presuntas entidades militares y gubernamentales rusas.

El equipo de investigación de Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ha realizado un estudio junto a Intezer con el objetivo de conocer las operaciones cibernéticas de Rusia en torno a las APT (amenazas persistentes avanzadas). Durante esta investigación a gran escala, se analizaron aproximadamente 2.000 muestras de malware APT atribuidas a Rusia y se han encontrado más de 22.000 conexiones entre las muestras y 3,85 millones de piezas de código compartidas entre diferentes organizaciones. Estos actores forman parte de un panorama más amplio en el que Rusia es una de las potencias más fuertes en la guerra cibernética actual. Sus herramientas avanzadas, enfoques únicos e infraestructuras sólidas sugieren operaciones enormes y complicadas que podrían involucrar a diferentes entidades militares y gubernamentales rusas.

A lo largo del tiempo, Rusia ha sido reconocida como una de las principales potencias en el ámbito cibernético debido al amplio número de operaciones de espionaje y sabotaje que ha llevado a cabo durante las últimas 3 décadas. En este sentido, cabe destacar algunos ejemplos como Moonlight Maze en 1996, la brecha de seguridad del Pentágono en 2008 o el hackeo de las elecciones americanas de 2016. Asimismo, los ciberatacantes rusos estuvieron detrás de algunos de los mayores y más famosos ataques de la historia, – apuntando a todo un país con el ransomware NotPetya.

A través de este análisis, se han podido encontrar indicios de que el código de algunos de los principales ciberataques fue presuntamente compartido entre diferentes entidades militares, gubernamentales y de inteligencia rusas. Asimismo, esta investigación refuerza la teoría de que Rusia podría estar invirtiendo un gran esfuerzo en desarrollar nuevas herramientas como ciberarmas. Las conexiones analizadas por Check Point muestran claramente que piezas de código como funciones, módulos completos o parciales y esquemas de encriptación se compartían entre diferentes equipos y proyectos de un mismo actor, por lo que los equipos ahorraban cientos de horas de trabajo y mucho dinero ya que, en lugar de volver a implementar las capacidades ya existentes, podían centrarse en otras tareas y reutilizar el código.

Por otra parte, otro beneficio de reutilizar un código es que lo más probable es que ya haya sido probado en operaciones cibernéticas de la vida real y que el equipo que lo desarrolló haya tenido la experiencia de usarlo y mejorarlo. Sin embargo, el análisis de Check Point e Intezer pone de manifiesto que ninguna de las conexiones compartía fragmentos de código entre más de dos organizaciones. Este hecho refleja que Rusia cuenta con uno de los sistemas de herramientas cibernéticas más avanzadas y sólidas del mundo.

Al evitar que diferentes organizaciones reutilicen de forma excesiva las mismas herramientas en una amplia gama de objetivos, anulan el riesgo de que una operación comprometida exponga a otras aún activas, impidiendo así que se entorpezcan otras actividades. Según este supuesto, Rusia estaría dispuesta a invertir una enorme cantidad de dinero y mano de obra para escribir código similar una y otra vez, en lugar de compartir herramientas, bibliotecas o marcos, lo que provocaría redundancia en esta actividad paralela. Por tanto, la seguridad operacional tiene un significado inestimable para los actores rusos.