A equipe de pesquisadores da Check Point e a Intezer trabalharam em conjunto em um estudo para conhecer as operações cibernéticas da Rússia em torno das APT (ameaças persistentes avançadas). Durante esta investigação de grande escala, foram analisadas aproximadamente 2.000 amostras de malware APT atribuídas à Rússia e foram encontradas mais de 22.000 conexões entre as amostras, além de 3,85 milhões de peças de código compartilhadas entre diferentes organizações. Estes atacantes formam parte de um cenário mais amplo em que a Rússia é uma das potências mais fortes na atual guerra cibernética. As suas ferramentas avançadas e infraestruturas robustas sugerem operações complexas que poderiam envolver diferentes entidades militares e governamentais russas.
Ao longo do tempo, a Rússia é reconhecida como uma das principais potências na esfera cibernética devido a um elevado número de operações de espionagem e sabotagem que executaram durante os últimos 30 anos. Destacam-se alguns exemplos dessas operações como Moonlight Maze em 1996, a falha de segurança do Pentágono (Estados Unidos) em 2008 ou o hackeamento nas eleições dos EUA de 2016. Assim mesmo, os ciberatacantes russos estiveram por trás dos maiores e mais famosos ataques da história, colapsando todo um país com o ransomware NotPetya.
Por meio desta análise, foi possível encontrar indícios que o código de alguns dos principais ciberataques foi presumivelmente compartilhado entre diferentes entidades militares, governamentais e de inteligência russas. Esta investigação reforça a teoria de que a Rússia poderá estar investindo em um grande esforço no desenvolvimento de novas ferramentas como ciberarmas. As conexões analisadas pela Check Point mostram claramente que pedaços de código como funções, módulos completos ou parciais e esquemas de encriptação foram compartilhadas entre diversas equipes e projetos do mesmo agente ou atacante, fazendo as equipes pouparem centenas de horas de trabalho e muito dinheiro visto que, em vez de voltar a implementar as funcionalidades já existentes, podiam se concentrar em outras tarefas e reutilizar o código.
Sob outra perspectiva, outro benefício de reutilizar código, e o mais provável, é que já tenha sido testado em operações cibernéticas em situações reais e a equipe que o desenvolveu já tenha a experiência de utilização e o tenha melhorado. No entanto, a análise da Check Point e da Intezer assegura que nenhuma das conexões compartilhava fragmentos de código com mais de duas organizações. Isto significa que a Rússia conta com um dos sistemas de ferramentas cibernéticas mais avançadas e sólidas do mundo.
Ao evitar que diferentes organizações reutilizem de forma exclusiva as mesmas ferramentas para uma vasta lista de objetivos, anulam o risco de uma operação comprometida que exponha a outras que se encontrem ativas, impedindo, assim, que se confundam com outras atividades. Segundo esta análise, a Rússia estará disponível para investir uma elevada quantia financeira e mão de obra para escrever código similar vez após vez, em vez de compartilhar ferramentas, bibliotecas, o que criaria redundância com esta atividade paralela. Portanto, se isso for verdade, a segurança operacional tem um significado inestimável para os agentes ou atacantes russos.
