Rosyjski i białoruski instytut badań nad obronnością był szpiegowany przez chińskich hakerów

23 maja, 2022
chiny hakerzy

Przez niemal 11 miesięcy chińscy hakerzy prowadzili operację cyberszpiegowską skierowaną przeciwko rosyjskim instytutom badań nad obronnością, działającym w ramach firmy Rostec – donosi Check Point Research. Kampania wykorzystywała maile spear-phishingowe wysyłane pod przykrywką rosyjskiego Ministerstwa Zdrowia. Zdaniem ekspertów, chińscy cyberszpiedzy wykorzystywali w swoich działaniach nieznane wcześniej narzędzia do inwigilowania sieci instytutów.

W ostatnich tygodniach eksperci wykryli trwającą operację cyberszpiegowską, której celem są (skupione w konglomeracie Rostec) rosyjskie instytuty badawcze zajmujące się obronnością. Przeprowadzone analizy ujawniły, że za atakami na infrastrukturę Rostecu stoją chińscy hakerzy, najprawdopodobniej powiązani w wywiadem. Cyberprzestępcy przez niemal 11 miesięcy unikali wykrycia za sprawą wykorzystywania nieznanych wcześniej narzędzi.

Spearphishing, ukierunkowane ataki socjotechniczne

Wśród celów znalazły się w sumie trzy jednostki badawcze – dwie w Rosji i jedna na Białorusi. Ich podstawowym zadaniem jest rozwój i produkcja systemów walk elektronicznych, wojskowych sprzętów radioelektronicznych, a także systemów awioniki lotnictwa cywilnego czy systemów sterowania dla infrastruktury krytycznej.

W swoich działaniach hakerzy wykorzystywali złośliwe wiadomości e-mail typu spear-phishing, które bazują na sztuczkach socjotechnicznych. Przykładowo, 23 marca złośliwe wiadomości e-mail z tematem […]:

„Lista członków  objętych sankcjami USA za inwazję na Ukrainę" 

[…] zawierały link do witryny kontrolowanej przez atakujących podszywającej się pod rosyjskie Ministerstwo Zdrowia oraz złośliwy dokument. Tego samego dnia podobny e-mail został również wysłany do nieznanego podmiotu w Mińsku na Białorusi z tematem:

„Rozprzestrzenianie śmiertelnych patogenów na Białorusi przez Stany Zjednoczone”

Wszystkie załączone dokumenty były przygotowane tak, aby wyglądały jak oficjalne dokumenty rosyjskiego Ministerstwa Zdrowia (opatrzone były jego oficjalnym godłem i tytułem).

spearphishing email
Ujawniona wiadomość phishingowa.

Identyfikacja ugrupowania hakerów według MITRE ATT&CK

Taktyki, techniki i procedury (TTP) operacji pozwalają na przypisanie jej do chińskich ugrupowań APT. Kampania, którą Check Point Research nazwał „Twisted Panda”, w wielu elementach pokrywa się z zaawansowanymi i wieloletnimi ugrupowaniami cyberszpiegowskimi, w tym APT10 i Mustang Panda.

Ugrupowanie APT10, zidentyfikowane też pod nazwami Stone Panda (przez CrowdStrike), Potassium (Microsoft) i menuPass (Palo Alto), wydaje się pochodzić z Chin i jest aktywne od około 2009 roku. Dotychczasowo celem grupy były sektory opieki zdrowotnej, obronności, lotnictwa i przemysłu kosmicznego oraz sektor rządowy. Cyberataki grupy APT10 zaobserwowoano w Szwajcarii, Wielkiej Brytanii, Niemczech, Norwegii, Francji, Finlandii, USA i w wielu innych krajach na całym globie.

Mustang Panda to także chińskie ugrupowanie przestępcze, które działa od roku 2017 i atakowało głównie amerykańskie think tanki i organizacje pozarządowe.

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]