Китайские хакеры атаковали российского разработчика атомных подлодок

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

4 мая 2021 года

Предположительно работающая на китайское правительство киберпреступная группа атаковала российское оборонное предприятие, занимающееся разработкой атомных подводных лодок для военно-морского флота РФ.

Фишинговое письмо, отправленное злоумышленниками генеральному директору санкт-петербургского конструкторского бюро «Рубин», использовало инструмент для создания RTF-эксплоитов Royal Road для доставки на атакуемую систему ранее неизвестного бэкдора для Windows под названием PortDoor.

По словам специалистов команды Nocturnus ИБ-компании Cybereason, PortDoor имеет широкий функционал и способен осуществлять разведку, профилировать цели, доставлять дополнительную полезную нагрузку, повышать привилегии, обходить антивирусное ПО, использовать однобайтовое шифрование XOR, извлекать данные, зашифрованные с использованием стандарта AES, и пр.

В течение многих лет Royal Road является излюбленным инструментом целого ряда китайских хакерских группировок, в частности Goblin Panda, Rancor Group, TA428, Tick и Tonto Team, которые используют его в целенаправленных фишинговых атаках с конца 2018 года. Злоумышленники эксплуатируют уязвимости в Microsoft Equation Editor ( CVE-2017-11882, CVE-2018-0798 и CVE-2018-0802 ) и используют вредоносные RTF-документы для доставки кастомного вредоносного ПО на системы ничего не подозревающих жертв.

Такой же тактики хакеры придерживались и в недавней атаке на гендиректора конструкторского бюро «Рубин» – главным вектором заражения были фишинговые письма. Тем не менее, если предыдущие версии Royal Road доставляли зашифрованную полезную нагрузку под названием «8.t», то в этот раз письмо содержало вредоносный документ, доставляющий при открытии зашифрованный файл с именем «eo» для извлечения импланта PortDoor. То есть, злоумышленники воспользовались новыми инструментами.

«Вектор заражения, стиль социальной инженерии, использование RoyalRoad в атаках на аналогичные цели и сходства между недавно обнаруженным бэкдором и другим известным вредоносным ПО китайских APT – все это указывает на злоумышленников, действующих в государственных интересах Китая», – сообщили исследователи.

Центральное конструкторское бюро морской техники 

«Рубин» – одно из ведущих советских и
российских предприятий в области проектирования подводных лодок, как
дизель-электрических, так и атомных.

Источники[править]

Эта статья содержит материалы из статьи «Китайские хакеры атаковали российского разработчика атомных подлодок», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Китайские_хакеры_атаковали_российского_разработчика_атомных_подлодок&oldid=16045251