Операция по похищению данных началась с фейкового письма.
В апреле китайские хакеры атаковали российское ЦКБ МТ «Рубин», обнаружили в американской компании Cybereason (специализируется на кибербезопасности). Атака началась с фейкового письма, которые хакеры отправили гендиректору КБ «Рубин» якобы от имени концерна МПО «Гидроприбор», указано в исследовании Cybereason, которая считает, что хакеры действуют в интересах китайского правительства, пишет «Коммерсант».
В письме в файле с изображениями автономного необитаемого подводного аппарата содержалось вредоносное вложение. «С большой долей вероятности хакеры перед этим атаковали «Гидроприбор», либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую приманку»,— полагает автор Telegram-канала Secator.
Вредоносное вложение RoyalRoad, используемое в атаке на «Рубин»,— один из инструментов, гарантирующих доставку вредоносного кода до конечной системы, который чаще всего применяют группировки азиатского происхождения, отмечает руководитель отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» Игорь Залевский.
В Cybereason указывают, что у атаки на КБ «Рубин» есть схожесть с работой группировок Tonto и TA428. Обе ранее были замечены в атаках на российские организации, связанные с наукой и обороной, сообщается в исследовании.
Tonto, как считается, работает «под крышей» Технического разведывательного департамента Народно-освободительной армии Китая (НОАК) в китайском городе Шэньян и в 2018 году была замечена в фишинговых атаках на концерн «Автоматика», входящий в «Ростех», уточняет Telegram-канал Secator. Об атаках на военные и промышленные организации в России, включая «Ростех», «Ъ» сообщал 19 октября 2020 года.
Главный заказчик «Рубина» — Минобороны, КБ работает с критически важной и уникальной информацией, касающейся военно-промышленного комплекса РФ, что и объясняет интерес киберпреступников, рассуждает Игорь Залевский. Начальник пентест-отдела ООО «Ти Хантер» Александр Художилов считает, что такие атаки будут набирать обороты, так как в связи с обострением информационного противостояния государств создаются специализированные киберцентры. Атаки на оборонные и научные предприятия не массовые, а сложные и целенаправленные, и в последние несколько лет интерес к этим сферам со стороны злоумышленников из различных стран довольно стабилен, возражает старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.