Разработчик подводных лодок ЦКБ морской техники «Рубин» подверглось целевой кибератаке китайской APT

0 0

ЦКБ Рубин — расположенное в Санкт-Петербурге инженерное бюро, является головным в части проектирования подводных лодок. С 1938 года предприятие тесно связано с ВМФ России.

Целевая атака киберпреступников в этот раз была направлена на российскую оборонку. Такие атаки отличаются от массовых тем, что направлены на конкретную компанию или целую отрасль. APT-атака (advanced persistent threat) — это разновидность целевой (целенаправленной, таргетированной) атаки.

Разработчик подводных лодок ЦКБ морской техники «Рубин» подверглось целевой кибератаке китайской APT

Методов проникновения в инфраструктуру компании много и обычные средства защиты (например, антивирус) не обнаружат присутствие хакера в сети. Для осуществления целевой атаки злоумышленники могут: 1.использовать социальную инженерию (нетехнические приемы атак для манипулирования пользователями); 2.собрать информацию о средствах и особенностях защитыи заранее спланировать их обход; 3. ксплуатировать новую или незамеченную ранее уязвимость, пока компания ее не исправила.

Исследователи из команды Cybereason Nocturnus 30 апреля выпустила отчет, в котором описала результаты отслеживания циркулирующего вредоносного вируса RoyalRoad aka 8.t Dropper. Изучив вредонос подробнее, специалисты пришли к выводу, что его операторы, скорее всего, действуют в интересах китайского правительства.

Разработчик подводных лодок ЦКБ морской техники «Рубин» подверглось целевой кибератаке китайской APT

Электронное письмо с адресным фишингом. На первом этапе атак китайская APT-группа использует целевой фишинг. Например, одно из таких писем пришло на имя генерального директора ЦКБ МТ «Рубин» — Игоря Владимировича Вильнита.

8.t Dropper, доставляемый в документе RTF, используется китайскими APT-группами для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT). Впервые он был замечен в 2018 году и использовался китайской группой 1937CN, ответственной, в свою очередь, за взломы вьетнамских аэропортов в 2016 году. Они тогда перехватили управление информационными табло и системами оповещения аэропортов и рассказывали на английском языке какие вьетнамцы редиски из-за территориального спора в Южно-Китайском море.

Разработчик подводных лодок ЦКБ морской техники «Рубин» подверглось целевой кибератаке китайской APT

МВ письме содержалось вредоносное вложение в виде RTF-файла, оснащённого пейлоадом RoyalRoad. Согласно метаданным, этот файл был создан в 2007 году, однако злоумышленники часто меняют эти сведения, чтобы запутать исследователей или защитные механизмы

Cybereason обнаружили свежий образец 8.t Dropper. Судя по всему, в качестве источника данных послужил Virus Total. В качестве фишинговой приманки использовалось письмо генеральному директору ЦКБ Рубин Игорю Вильниту от имени АО «Концерн «МПО – Гидроприбор». Сама приманка составлена грамотно, правда адрес отправителя находится на mail .ru (хотя это как раз неудивительно, там большинство входящих в Гидроприбор компаний официальную электронную почту на Mail ru держат).

Разработчик подводных лодок ЦКБ морской техники «Рубин» подверглось целевой кибератаке китайской APT

Согласно метаданным, этот был создан в 2007 году, однако злоумышленники часто меняют эти сведения, чтобы запутать исследователей или защитные механизмы.

В качестве документа RTF, содержащего дропер, прилагаются «Основные результаты эскизного проектирования АНПА» (расшифровывается как автономный необитаемый подводный аппарат).

Разработчик подводных лодок ЦКБ морской техники «Рубин» подверглось целевой кибератаке китайской APT

После запуска RTF-файла на компьютер жертвы помещался документ Microsoft Word — использование этого формата также обусловлено желанием обойти детектирование. Далее в дело вступал ранее неизвестный бэкдор под именем «winlog.wll».

С большой долей вероятности хакеры заранее взломали Концерн Гидроприбор, либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую фишинговую приманку.

В письме содержалось вредоносное вложение в виде RTF-файла, оснащённого пейлоадом RoyalRoad. Согласно метаданным, этот файл был создан в 2007 году, однако злоумышленники часто меняют эти сведения, чтобы запутать исследователей или защитные механизмы. После запуска RTF-файла на компьютер жертвы помещался документ Microsoft Word — использование этого формата также обусловлено желанием обойти детектирование. Далее в дело вступал ранее неизвестный бэкдор под именем «winlog.wll».

Разработчик подводных лодок ЦКБ морской техники «Рубин» подверглось целевой кибератаке китайской APT

Обнаружение Cybereason бэкдора PortDoor

Атрибуция, проведенная исследователями, указывает на китайские APT — используемая в приманке кодировка ранее была замечена у APT Tonto и APT TA428. Первая группа, как считается, работает под крышей Технического разведывательного Департамента НОАК (Unit 65017) в китайском городе Шэньян и в 2018 году уже была замечена в фишинговых атаках на Концерн Автоматика, входящий в Ростех.

Источник: naukatehnika.com
Оставить комментарий

Мы используем файлы cookie. Продолжив использование сайта, вы соглашаетесь с Политикой использования файлов cookie и Политикой конфиденциальности Принимаю

Privacy & Cookies Policy