Хакеры залогинились в «Рубине»
10.05.2021 19:06В апреле китайские хакеры атаковали российское ЦКБ МТ «Рубин», обнаружили в американской компании Cybereason (специализируется на кибербезопасности). Атака началась с фейкового письма, которые хакеры отправили гендиректору КБ «Рубин» якобы от имени концерна МПО «Гидроприбор», указано в исследовании Cybereason, которая считает, что хакеры действуют в интересах китайского правительства. В письме в файле с изображениями автономного необитаемого подводного аппарата содержалось вредоносное вложение. «С большой долей вероятности хакеры перед этим атаковали "Гидроприбор", либо какое-то ещё учреждение, чтобы добыть правдоподобно выглядящую приманку»,— полагает автор Telegram-канала Secator. В ЦКБ «Рубин» и концерне «Гидроприбор» не ответили на запрос “Ъ”.
ЦКБ «Рубин» ведёт свою историю с 1901 года. По проектам ЦКБ МТ «Рубин» построено более 85% подводных лодок, входивших в разное время в состав ВМФ СССР и России, сказано на официальном сайте компании. С 1990-х годов «Рубин» занимается также гражданскими объектами, выступая головной организацией АО « Объединенная судостроительная корпорация» по проектированию технических средств освоения нефтегазовых месторождений на континентальном шельфе, сообщается на сайте.
Вредоносное вложение RoyalRoad, используемое в атаке на «Рубин»,— один из инструментов, гарантирующих доставку вредоносного кода до конечной системы, который чаще всего применяют группировки азиатского происхождения, отмечает руководитель отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» Игорь Залевский.
В Cybereason указывают, что у атаки на КБ «Рубин» есть схожесть с работой группировок Tonto и TA428. Обе ранее были замечены в атаках на российские организации, связанные с наукой и обороной, сообщается в исследовании.
Tonto, как считается, работает «под крышей» Технического разведывательного департамента Народно-освободительной армии Китая (НОАК) в китайском городе Шэньян и в 2018 году была замечена в фишинговых атаках на концерн «Автоматика», входящий в « Ростех», уточняет Telegram-канал Secator. Об атаках на военные и промышленные организации в России, включая « Ростех», “Ъ” сообщал 19 октября 2020 года.
Главный заказчик «Рубина» — Минобороны, КБ работает с критически важной и уникальной информацией, касающейся военно-промышленного комплекса РФ, что и объясняет интерес киберпреступников, рассуждает Игорь Залевский. Начальник пентест-отдела ООО «Ти Хантер» Александр Художилов считает, что такие атаки будут набирать обороты, так как в связи с обострением информационного противостояния государств создаются специализированные киберцентры. Атаки на оборонные и научные предприятия не массовые, а сложные и целенаправленные, и в последние несколько лет интерес к этим сферам со стороны злоумышленников из различных стран довольно стабилен, возражает старший эксперт по кибербезопасности « Лаборатории Касперского» Денис Легезо.
Конструкторов атакуют ради промышленного шпионажа в основном спецслужбы других государств, говорит эксперт по информационной безопасности Денис Батранков. «Проблемой является то, что мы все используем программное обеспечение, в котором множество неизвестных ещё способов взлома. Спецслужбы за миллионы долларов выкупают новые уязвимости с чёрного рынка»,— рассказывает он. Так, например, « Лаборатория Касперского» была атакована вредоносной программой Duqu 2, которая использовала несколько неизвестных на тот момент уязвимостей Windows. По мнению господина Батранкова, чтобы предотвратить атаки на оборонку, нужно создать в стране собственное подразделение, которое находило бы уязвимости в программном обеспечении до того, как их найдут другие.
