Kinesiske hackere forsøkte stjele russiske forsvarsdata
Forskningssjef Itay Cohen tror funn i ny rapport er bevis på Kinas systematiske og langsiktige plan om å bli teknologiledende.
Check Point Research (CPR) har oppdaget en pågående cyberspionasjeaksjon rettet mot russiske forskningsinstitutter.
– Vår undersøkelse viser at dette er en del av en større operasjon som har pågått mot Russland-relaterte enheter i rundt ett år. Kanskje den mest sofistikerte delen av kampanjen er den sosiale komponenten. Både tidspunktet og lokkemidlene som brukes er smarte. Fra et teknisk synspunkt er kvaliteten på verktøyene og deres egenskaper over snittet, selv for APT-grupper, sier Itay Cohen, forskningssjef ved Check Point Software.
Spyd-phishing
Jeg tror disse funnene er bevis på en systematisk og langsiktig strategi for Kinas strategiske mål for å oppnå å bli et teknologiledende land.
Itay Cohen, forskningssjef ved Check Point Software
I følge deres nye rapport bruker kinesiske aktører spyd-phishing-e-poster sendt under dekke av det russiske helsedepartementet, for å samle inn sensitiv informasjon. Flere e-poster som ble fanget opp av CPR inneholdt ondsinnede dokumenter som blant annet brukte de vestlige sanksjonene mot Russland som avledning. Trusselaktørene klarte å unngå å bli avslørt i nesten 11 måneder ved å bruke nye og udokumenterte verktøy; et sofistikert flerlags patch og en bakdør kalt SPINNER.
– Jeg tror disse funnene er bevis på en systematisk og langsiktig strategi for Kinas strategiske mål for å oppnå å bli et teknologiledende land. Her så vi hvordan kinesiske statsstøttede angripere utnytter den pågående krigen mellom Russland og Ukraina, og slipper løs avanserte verktøy mot dem som regnes som en strategisk partner – Russland, avslutter Cohen.
Kampanjen har av Check Point fått navnet "Twisted Panda" for å gjenspeile stilen til verktøyene de har observert, og som kan spores til Kina.
Russiske ofre innen forsvarssektoren
De russiske ofrene tilhører et holdingselskap i det russisk statseide forsvarskonglomeratet Rostec Corporation, Russlands største holdingselskap i radioelektronikkindustrien. E-poster inneholdt emnelinjer som "Liste over personer under amerikanske sanksjoner for å invadere Ukraina" og "US Spread of Deadly Pathogens in Belarus". Kampanjen har flere overlappinger med kinesiske avanserte og mangeårige cyberspionasje aktører, inkludert APT10 og Mustang Panda.
CPR identifiserte tre forsvarsmål, to i Russland og ett i Hviterussland. Den primære virksomheten til de russiske ofrene er i utvikling og produksjon av elektroniske krigføringssystemer, militærspesialisert innebygd radio-elektronisk utstyr, luftbaserte radarstasjoner og midler til statlig identifikasjon. Forskningsenhetene er også involvert i avionikksystemer for sivil luftfart, utvikling av en rekke sivile produkter som medisinsk utstyr og kontrollsystemer for energi-, transport- og ingeniørindustri.
Ondsinnede e-poster
Trusselaktørene utnytter ondsinnede spyd-phishing-e-poster. 23. mars ble ondsinnede e-poster sendt til flere forskningsinstitutter med base i Russland. E-postene, som hadde emnet "Liste over personer under amerikanske sanksjoner for å invadere Ukraina", inneholdt en lenke til et hacker-kontrollert nettsted som etterligner Russlands helsedepartement og hadde et ondsinnet dokument vedlagt. På samme dag ble en lignende e-post også sendt til en ukjent enhet i Minsk, Hviterussland med emnet "US Spread of Deadly Pathogens in Hviterussland." Alle vedlagte dokumenter er laget for å se ut som offisielle dokumenter fra det russiske helsedepartementet.
