Rosyjski i białoruski instytut badań nad obronnością był szpiegowany przez chińskich hakerów

23 maja, 2022

Przez niemal 11 miesięcy chińscy hakerzy prowadzili operację cyberszpiegowską skierowaną przeciwko rosyjskim instytutom badań nad obronnością, działającym w ramach firmy Rostec – donosi Check Point Research. Kampania wykorzystywała maile spear-phishingowe wysyłane pod przykrywką rosyjskiego Ministerstwa Zdrowia. Zdaniem ekspertów, chińscy cyberszpiedzy wykorzystywali w swoich działaniach nieznane wcześniej narzędzia do inwigilowania sieci instytutów.

W ostatnich tygodniach eksperci wykryli trwającą operację cyberszpiegowską, której celem są (skupione w konglomeracie Rostec) rosyjskie instytuty badawcze zajmujące się obronnością. Przeprowadzone analizy ujawniły, że za atakami na infrastrukturę Rostecu stoją chińscy hakerzy, najprawdopodobniej powiązani w wywiadem. Cyberprzestępcy przez niemal 11 miesięcy unikali wykrycia za sprawą wykorzystywania nieznanych wcześniej narzędzi.

Spearphishing, ukierunkowane ataki socjotechniczne

Wśród celów znalazły się w sumie trzy jednostki badawcze – dwie w Rosji i jedna na Białorusi. Ich podstawowym zadaniem jest rozwój i produkcja systemów walk elektronicznych, wojskowych sprzętów radioelektronicznych, a także systemów awioniki lotnictwa cywilnego czy systemów sterowania dla infrastruktury krytycznej.

W swoich działaniach hakerzy wykorzystywali złośliwe wiadomości e-mail typu spear-phishing, które bazują na sztuczkach socjotechnicznych. Przykładowo, 23 marca złośliwe wiadomości e-mail z tematem […]:

„Lista członków  objętych sankcjami USA za inwazję na Ukrainę" 

[…] zawierały link do witryny kontrolowanej przez atakujących podszywającej się pod rosyjskie Ministerstwo Zdrowia oraz złośliwy dokument. Tego samego dnia podobny e-mail został również wysłany do nieznanego podmiotu w Mińsku na Białorusi z tematem:

„Rozprzestrzenianie śmiertelnych patogenów na Białorusi przez Stany Zjednoczone”

Wszystkie załączone dokumenty były przygotowane tak, aby wyglądały jak oficjalne dokumenty rosyjskiego Ministerstwa Zdrowia (opatrzone były jego oficjalnym godłem i tytułem).

spearphishing email
Ujawniona wiadomość phishingowa.

Identyfikacja ugrupowania hakerów według MITRE ATT&CK

Taktyki, techniki i procedury (TTP) operacji pozwalają na przypisanie jej do chińskich ugrupowań APT. Kampania, którą Check Point Research nazwał „Twisted Panda”, w wielu elementach pokrywa się z zaawansowanymi i wieloletnimi ugrupowaniami cyberszpiegowskimi, w tym APT10 i Mustang Panda.

Ugrupowanie APT10, zidentyfikowane też pod nazwami Stone Panda (przez CrowdStrike), Potassium (Microsoft) i menuPass (Palo Alto), wydaje się pochodzić z Chin i jest aktywne od około 2009 roku. Dotychczasowo celem grupy były sektory opieki zdrowotnej, obronności, lotnictwa i przemysłu kosmicznego oraz sektor rządowy. Cyberataki grupy APT10 zaobserwowoano w Szwajcarii, Wielkiej Brytanii, Niemczech, Norwegii, Francji, Finlandii, USA i w wielu innych krajach na całym globie.

Mustang Panda to także chińskie ugrupowanie przestępcze, które działa od roku 2017 i atakowało głównie amerykańskie think tanki i organizacje pozarządowe.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 2

Jak na razie nikt nie podzielił się opinią.

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]