Armia i Służby

Rosyjska zbrojeniówka szpiegowana przez Chiny

rosyjski sprzęt
Fot. manhhai/Flickr/CC BY 2.0

Rosyjskie firmy zbrojeniowe oraz podmioty z sektora obronnego były celem serii wrogich cyberataków. Hakerzy wykradali poufne dane i przesyłali je na zagraniczne serwery. Za kampanią ma stać grupa powiązana z Chinami. Wśród ofiar są również instytucje rządowe. 

Specjaliści Kaspersky Lab wykryli ataki hakerskie na podmioty z Rosji i „wielu krajów Europy Wschodniej” oraz Afganistanu. Celem były firmy z branży zbrojeniowej, podmioty związane z obronnością, a także instytucje rządowe. Głównym motywem sprawców było cyberszpiegostwo.

Zdaniem ekspertów, seria cyberataków to najprawdopodobniej sprawka chińskiej grupy APT „TA 428”. 

Uważamy, że wykryta przez nas seria cyberataków z dużym prawdopodobieństwem jest kontynuacją znanej już kampanii (...) przypisanej APT TA428.
Kaspersky Lab

Czytaj też

Dobrze przygotowana kampania

W niektórych przypadkach hakerom udało się przejąć w pełni infrastrukturę IT celów. Wykorzystali do tego starannie przygotowane wiadomości phishingowe.

Atakującym udało się zinfiltrować dziesiątki przedsiębiorstw, a w pewnych przypadkach całkowicie przejąć infrastrukturę IT, a tym samym kontrolę nad rozwiązaniami bezpieczeństwa.
Kaspersky Lab

Specjaliści wskazują, że wiadomości przypominały komunikaty wewnętrzne i zawierały informacje, które nie były dostępne w źródłach publicznych. Mowa o m.in. imionach i nazwiskach personelu odpowiedzialnego za poufne dane w określonej instytucji lub firmie, a także kryptonimy projektów.  

To sugeruje, że kampania była wcześniej dobrze przygotowana.

W jaki sposób? Na przykład poprzez wcześniejsze cyberataki na personel organizacji. 

Czytaj też

Kradzież poufnych danych

Złośliwe e-maile zawierały pliki Microsoft Word, będące nośnikiem wirusa. Wykorzystywał on lukę CVE-2017-11882, która umożliwiała przejęcie kontroli nad zainfekowanym systemem bez wiedzy i interakcji ze strony użytkownika.

Głównym narzędziem atakujących jest Ladon. Pozwala na skanowanie sieci, wykrywanie i wykorzystanie luk, a także kradzież haseł.
Kaspersky Lab

Hakerzy byli w stanie uzyskać pełną kontrolę nad stacjami roboczymi i serwerami podmiotu będącego celem. To pozwoliło na przeszukiwanie, a następnie przesyłanie poufnych danych na serwery ulokowane w różnych krajach.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także