Китайские хакеры атаковали разработчиков российских подлодок
В апреле китайские хакеры атаковали российское ЦКБ МТ "Рубин", обнаружили в американской компании Cybereason (специализируется на кибербезопасности). Атака началась с фейкового письма, которые хакеры отправили гендиректору КБ "Рубин" якобы от имени концерна МПО "Гидроприбор", указано в исследовании Cybereason, которая считает, что хакеры действуют в интересах китайского правительства, пишет "Коммерсант".
В письме в файле с изображениями автономного необитаемого подводного аппарата содержалось вредоносное вложение. "С большой долей вероятности хакеры перед этим атаковали "Гидроприбор", либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую приманку",- полагает автор Telegram-канала Secator.
Вредоносное вложение RoyalRoad, используемое в атаке на "Рубин",- один из инструментов, гарантирующих доставку вредоносного кода до конечной системы, который чаще всего применяют группировки азиатского происхождения, отмечает руководитель отдела расследования киберинцидентов Solar JSOC CERT компании "Ростелеком-Солар" Игорь Залевский.
В Cybereason указывают, что у атаки на КБ "Рубин" есть схожесть с работой группировок Tonto и TA428. Обе ранее были замечены в атаках на российские организации, связанные с наукой и обороной, сообщается в исследовании.
Tonto, как считается, работает "под крышей" Технического разведывательного департамента Народно-освободительной армии Китая (НОАК) в китайском городе Шэньян и в 2018 году была замечена в фишинговых атаках на концерн "Автоматика", входящий в "Ростех", уточняет Telegram-канал Secator. Об атаках на военные и промышленные организации в России, включая "Ростех", "Ъ" сообщал 19 октября 2020 года.
Главный заказчик "Рубина" - Минобороны, КБ работает с критически важной и уникальной информацией, касающейся военно-промышленного комплекса РФ, что и объясняет интерес киберпреступников, рассуждает Игорь Залевский. Начальник пентест-отдела ООО "Ти Хантер" Александр Художилов считает, что такие атаки будут набирать обороты, так как в связи с обострением информационного противостояния государств создаются специализированные киберцентры. Атаки на оборонные и научные предприятия не массовые, а сложные и целенаправленные, и в последние несколько лет интерес к этим сферам со стороны злоумышленников из различных стран довольно стабилен, возражает старший эксперт по кибербезопасности "Лаборатории Касперского" Денис Легезо.
