Не дает
Ростех покоя расовым азиатским хакерам (тысячи их!). Два года назад северокорейцы из APT
Kimsuky пытались взять на абордаж одно из подразделений госкомпании.
На сей раз наши китайские друзья решили пощупать внешний периметр двух российских оборонных научно-исследовательских институтов, входящих в состав
Ростеха. Все согласно известной китайской пословице - "Сотня мужчин может разбить лагерь, но для постройки дома нужна женщина, а для постройки современного высокотехнологичного оружия - взломанный русский НИИ".
По крайней мере, так утверждает израильская инфосек компания
Check Point.
По данным еврейских исследователей, ориентировочно с июня 2021 года ранее не замеченной хакерской группой проводится кибершпионская кампани, направленная на российские ресурсы. В ее рамках в конце марта этого года в адрес нескольких российских оборонных НИИ, а также в адрес неустановленного лица в
Минске (приманка немного отличалась от российской), была сделана фишинговая рассылка, содержавшая ссылку на сайт minzdravros .com, имитирующий сайт
Минздрава России и вредоносный документ.
Естественно, что при открытии и того, и другого, подтягивалось вредоносное ПО, а точнее безфайловый загрузчик, который имеет несколько зашифрованных слоев и догружает полезную нагрузку. В виде оригинального авторского бэкдора
Spinner. Который, свою очередь, судя по скудному первичному функционалу, подсасывает с управляющего центра необходимые функциональные модули.
В ходе анализа полученных сэмплов
Check Point нашли несколько схожих дропперов, все из которых использовали в качестве приманки документы, ориентированные на российских пользователей (например, поддельный
Указ Президента РФ).
Полученные в ходе анализа TTPs указывают на схожесть этой новой APT, которую израильтяне назвали
Twisted Panda, с китайскими группами
Mustang Panda и
Stone Panda aka
APT 10.
Вместе с тем, по нашему мнению, их недостаточно, чтобы однозначно привязать киберкампании к действию китайских хакерских групп. Мы бы также рассмотрели возможность операции под чужим флагом, но израильские специалисты, по понятным геополитическим причинам, этого не делают.
Удалось ли взломать хакерам наши НИИ из отчета
Check Point непонятно. Одно ясно точно - инструктаж должностных лиц
Ростеха на предмет недопущения перехода по всяким фишинговым ссылкам и прочим вредоносным документам должен быть усилен. Желательно описанием последствий в виде "а то будет бо-бо".
https://t.me/true_secator/2970