Поддерживаемый государством китайский хакер «напал» на российского конструктора атомных подводных лодок

По всей видимости, хакер использовал бэкдор-атаку.

К сожалению, в хакерских атаках нет ничего нового, и в конце прошлой недели произошла новая, которая потенциально связана с тем, что китайский субъект угрозы пытается получить доступ к проектам российских атомных подводных лодок.

30 апреля была совершена кибератака на одного конкретного человека, генерального директора ОКБ Рубина (Cybereason Nocturnus Team), который занимался российской обороной и разработкой атомных подводных лодок для ВМФ страны.

Причина, по которой команда Cybereason считает, что это китайская кибератака, заключается в том, что инструмент RoyalRoad weaponizer, использованный для атаки, ранее участвовал в ряде других взломов под руководством Китая. Их тактика предполагает использование RoyalRoad для целевого фишинга ценных материалов.

Этот инструмент предоставляет ранее недокументированный бэкдор Windows под названием PortDoor, который можно использовать по-разному, например, для проведения нашей разведки, профилирования целей, доставки дополнительных полезных данных и т. д.

В этом случае, генеральный директор конструкторского бюро «Рубин» Игорь Владимирович получил электронное письмо с целевым фишингом, содержащее вредоносный документ в формате RTF, «вооруженный» полезной нагрузкой RoyalRoad.

Изображение автономного подводного аппарата, отправленное генеральному директору. Источник: https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector

Содержание электронного письма могло выглядеть достаточно безобидным, поскольку оно содержало изображения автономного подводного аппарата.

После открытия документа файл надстройки Microsoft Word удаляется, что позволяет обойти обнаружение постоянства автоматического выполнения.

Команда, которая обнаружила угрозу, также заявила, что эта конкретная новая версия полезной нагрузки RoyalRoad использует другой тип имени файла, чем обычные.

Отправленное письмо с целевым фишингом. Источник: https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector

Неизвестно, какая именно информация была извлечена, но приятно видеть, что компании по обеспечению безопасности киберугроз, такие, как Cybereason, пристально следят за происходящим в Интернете. ФБР в США, например, использует собственную тактику хакеров, чтобы вывести их с серверов обмена Microsoft.

Киберугрозы, похоже, только продолжают расти, и некоторые из них относительно регулярно связаны с Китаем и Россией.

Например, в марте Microsoft считала, что ее серверы обмена электронной почтой были взломаны Китаем. А также, в марте китайские и российские хакеры участвовали в кибератаках с целью кражи данных о вакцине COVID-19.