俄罗斯APT地图显示2000个恶意软件样本之间存在22000个连接

近年来，许多俄罗斯黑客组织已成为网络空间中最复杂的民族国家行为者之一，为网络间谍活动提供高度专业化的黑客技术和工具包。

在过去三十年里，许多备受瞩目的黑客事件—；比如黑客入侵美国总统选举，针对一个拥有NotPetya勒索软件的国家，导致乌克兰首都基辅停电，以及五角大楼入侵—；被认为是俄罗斯黑客组织，包括花式熊（Sofacy）、图拉、舒适熊、沙虫队和狂暴熊。

除了不断扩大其网络战能力之外，俄罗斯APT组织的生态系统也已经发展成一个非常复杂的结构，这使得了解俄罗斯网络间谍活动中的谁变得更加困难。

现在，为了说明全局，让每个人都更容易了解俄罗斯黑客及其操作，Intezer和Check Point Research的研究人员联手发布了一张基于网络的交互式地图，该地图提供了该生态系统的完整概览。

该地图被称为“俄罗斯APT地图”，任何人都可以使用它来了解不同俄罗斯APT恶意软件样本、恶意软件家族和威胁参与者之间的联系；只需点击地图上的节点。

研究人员告诉《黑客新闻》：“对于任何有兴趣了解和理解构成这个生态系统的样本、模块、家庭和参与者的联系和属性的人来说，[俄罗斯APT]地图基本上是一站式服务。”。

“通过单击图中的节点，将显示一个侧面板，其中包含有关该节点所属恶意软件家族的信息，以及指向Intezer平台上分析报告的链接，以及指向相关文章和出版物的外部链接。”

俄罗斯APT地图的核心是综合研究的结果，研究人员收集、分类和分析了2000多个俄罗斯黑客组织的恶意软件样本，并根据它们共享的385万段代码绘制了它们之间的近22000个连接。

“在Russain APT保护伞下的每个参与者或组织都有自己的专用恶意软件开发团队，多年来在类似的恶意软件工具包和框架上并行工作。知道这些工具包中有很多都有相同的用途，就有可能在并行活动中发现冗余。”

俄罗斯APT地图还显示，尽管大多数黑客组织在各自不同的工具和框架中重复使用自己的代码，但没有发现不同的组织使用彼此的代码。

研究人员说：“通过避免不同的组织在广泛的目标上重复使用相同的工具，他们克服了一个受损的操作会暴露其他活动操作的风险，从而防止敏感的卡片屋崩溃。”。

“另一个假设是，由于内部政治原因，不同的组织不共享代码。”

为了使地图在未来更高效、更新，研究人员还公开了地图及其背后的数据来源。

除此之外，研究人员还发布了一种基于Yara规则的扫描工具，称为“俄罗斯APT检测器”，任何人都可以使用该工具扫描特定文件、文件夹或整个文件系统，并搜索俄罗斯黑客的感染。