Armia i Służby
Rosyjska zbrojeniówka szpiegowana przez Chiny
Rosyjskie firmy zbrojeniowe oraz podmioty z sektora obronnego były celem serii wrogich cyberataków. Hakerzy wykradali poufne dane i przesyłali je na zagraniczne serwery. Za kampanią ma stać grupa powiązana z Chinami. Wśród ofiar są również instytucje rządowe.
Specjaliści Kaspersky Lab wykryli ataki hakerskie na podmioty z Rosji i „wielu krajów Europy Wschodniej” oraz Afganistanu. Celem były firmy z branży zbrojeniowej, podmioty związane z obronnością, a także instytucje rządowe. Głównym motywem sprawców było cyberszpiegostwo.
Zdaniem ekspertów, seria cyberataków to najprawdopodobniej sprawka chińskiej grupy APT „TA 428”.
Uważamy, że wykryta przez nas seria cyberataków z dużym prawdopodobieństwem jest kontynuacją znanej już kampanii (...) przypisanej APT TA428.
Kaspersky Lab
Czytaj też
Dobrze przygotowana kampania
W niektórych przypadkach hakerom udało się przejąć w pełni infrastrukturę IT celów. Wykorzystali do tego starannie przygotowane wiadomości phishingowe.
Atakującym udało się zinfiltrować dziesiątki przedsiębiorstw, a w pewnych przypadkach całkowicie przejąć infrastrukturę IT, a tym samym kontrolę nad rozwiązaniami bezpieczeństwa.
Kaspersky Lab
Specjaliści wskazują, że wiadomości przypominały komunikaty wewnętrzne i zawierały informacje, które nie były dostępne w źródłach publicznych. Mowa o m.in. imionach i nazwiskach personelu odpowiedzialnego za poufne dane w określonej instytucji lub firmie, a także kryptonimy projektów.
To sugeruje, że kampania była wcześniej dobrze przygotowana.
W jaki sposób? Na przykład poprzez wcześniejsze cyberataki na personel organizacji.
Czytaj też
Kradzież poufnych danych
Złośliwe e-maile zawierały pliki Microsoft Word, będące nośnikiem wirusa. Wykorzystywał on lukę CVE-2017-11882, która umożliwiała przejęcie kontroli nad zainfekowanym systemem bez wiedzy i interakcji ze strony użytkownika.
Głównym narzędziem atakujących jest Ladon. Pozwala na skanowanie sieci, wykrywanie i wykorzystanie luk, a także kradzież haseł.
Kaspersky Lab
Hakerzy byli w stanie uzyskać pełną kontrolę nad stacjami roboczymi i serwerami podmiotu będącego celem. To pozwoliło na przeszukiwanie, a następnie przesyłanie poufnych danych na serwery ulokowane w różnych krajach.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].