Przez niemal 11 miesięcy chińscy hakerzy prowadzili operację szpiegowską skierowaną przeciwko rosyjskim instytutom badań nad obronnością, działającym w ramach firmy Rostec – donosi Check Point Research. Kampania wykorzystywała maile spear-phishingowe wysyłane pod przykrywką rosyjskiego Ministerstwa Zdrowia. Zdaniem ekspertów, chińscy cyberszpiedzy wykorzystywali w swoich działaniach nieznane wcześniej narzędzia do inwigilowania sieci.
W ostatnich tygodniach eksperci bezpieczeństwa cybernetycznego z Check Point Research wykryli trwającą operację cyberszpiegowską, której celem są – skupione w konglomeracie Rostec – rosyjskie instytuty badawcze zajmujące się obronnością. Przeprowadzone analizy ujawniły, że za atakami na infrastrukturę Rostecu stoją chińscy hakerzy, najprawdopodobniej powiązani w wywiadem. Co niepokojące, cyberprzestępcy przez niemal 11 miesięcy unikali wykrycia za sprawą wykorzystywania nieznanych wcześniej narzędzi, zaawansowanego wielowarstwowego loadera i backdoora SPINNER.
Wśród celów znalazły się w sumie trzy jednostki badawcze – dwie w Rosji i jedna na Białorusi. Ich podstawowym zadaniem jest rozwój i produkcja systemów walk elektronicznych, wojskowych sprzętów radioelektronicznych, a także systemów awioniki lotnictwa cywilnego czy systemów sterowania dla infrastruktury krytycznej.
W swoich działaniach hakerzy wykorzystywali złośliwe wiadomości e-mail typu spear-phishing, które bazują na sztuczkach socjotechnicznych. Przykładowo, 23 marca złośliwe wiadomości e-mail z tematem Lista członków <nazwa instytutu docelowego> objętych sankcjami USA za inwazję na Ukrainę, zawierały link do witryny kontrolowanej przez atakujących podszywającej się pod rosyjskie Ministerstwo Zdrowia oraz złośliwy dokument. Tego samego dnia podobny e-mail został również wysłany na Białoruś z tematem Rozprzestrzenianie śmiertelnych patogenów na Białorusi przez Stany Zjednoczone. Wszystkie załączone dokumenty były przygotowane tak, aby wyglądały jak oficjalne dokumenty rosyjskiego Ministerstwa Zdrowia (opatrzone były jego oficjalnym godłem i tytułem).
– Ujawniliśmy trwającą operację szpiegowską przeciwko rosyjskim instytutom badawczym zajmującym się obronnością, prowadzoną przez doświadczonych i wyrafinowanych cyberprzestępców wspieranych przez Chiny. Nasze śledztwo pokazuje, że jest to część większej operacji, która trwa przeciwko podmiotom powiązanym z Rosją od około roku. Odkryliśmy, że za cel zostały obrane dwie instytucje badawcze w dziedzinie obronności w Rosji i jeden podmiot na Białorusi – mówi Itay Cohen, szef działu badań w Check Point Software.
Taktyki, techniki i procedury (TTP) operacji pozwalają na przypisanie jej do chińskich ugrupowań APT. Kampania, którą Check Point Research nazwał „Twisted Panda”, w wielu elementach pokrywa się z zaawansowanymi i wieloletnimi ugrupowaniami cyberszpiegowskimi, w tym APT10 i Mustang Panda.
– Być może najbardziej wyrafinowaną częścią kampanii jest element inżynierii społecznej. Czas ataków i użyte przynęty są sprytne. Z technicznego punktu widzenia jakość narzędzi i ich ukrycie stoi na bardzo wysokim poziomie, nawet jak na grupy APT. Uważam, że nasze odkrycia są kolejnym dowodem na to, że szpiegostwo jest systematycznym i długofalowym wysiłkiem w służbie strategicznych celów Chin, pozwalającym osiągnąć przewagę technologiczną – dodaje ekspert Check Pointa.
