Specjalizująca się w cyberbezpieczeństwie firma Cybereason poinformowała o ataku hakerskim na rosyjskie biuro konstrukcyjne Rubin, specjalizujące się w projektowaniu atomowych okrętów podwodnych i bezzałogowych pojazdów podwodnych. Wszystkie tropy prowadzą na razie w stronę chińskich hakerów wspieranych przez rząd w Pekinie, aczkolwiek dostępne informacje są bardzo ograniczone. Szczególnie interesująca jest ofiara ataku, jest to bowiem druga w ciągu roku rosyjsko-chińska afera szpiegowska kręcąca się wokół okrętów podwodnych.
Sprawa ujrzała światło dzienne, gdy 30 kwietnia Cybereason opisał na swoim blogu atak na Rubina. Uwagę specjalistów z firmy zwrócił nowy typ złośliwego oprogramowania wykorzystany przez hakerów. Atak przeprowadzono metodą spear-phishing – do dyrektora biura Rubin, Igora W. Wilnita, wysłano e-mail z załączoną grafiką autonomicznego pojazdu podwodnego. Plik w formacie RTF został przerobiony za pomocą RoyalRoad, narzędzia do tworzenia złośliwych dokumentów wykorzystujących liczne luki w Microsoft Equation Editor.
Po otwarciu plik RTF umieścił backdoor PortDoor w folderze startowym Microsoft Word, ukrywając go jako plik dodatku winlog.wll. Jak ustalili specjaliści z Cybereason, PortDoor to backdoor z rozbudowaną listą funkcji obejmującą między innymi: rozpoznanie i profilowanie systemów ofiar, pobieranie plików z serwera, z którego jet kontrolowany, rozszerzanie uprawnień, dynamiczne działania w celu uniknięcia wykrycia i eksfiltracja danych zaszyfrowanych algorytmem AES.
Dzięki wcześniejszym pracom grupy badawczej nao-sec Cybereason był w stanie ustalić, że feralny plik stworzono przy użyciu oprogramowania RoaylRoad v7, zaś wykorzystane kodowanie wskazało na chińskie grupy hakerów Tonto Team (znana też jako CactusPete), Rancor lub TA428. Tonto Team i TA248 już wcześniej zyskały rozgłos dzięki atakom na różnorodne instytucje i organizacje w Rosji i Azji. Dokładniejsza analiza elementów językowych i graficznych w mailu, rzekomej grafice pojazdu podwodnego i PortDoor dodatkowo wskazują na Tonto Team.
Nie są to jednak decydujące dowody. Na poziomie kodowanie PortDoor wykorzystany w ataku na Rubina nie wykazuje podobieństwa ze złośliwym oprogramowanie wykorzystywanym przez tę grupę. PortDoor jest zupełnie nowym backdoorem, niezarejestrowanym wcześniej przez Cybereason. Istnieją więc dwa rozwiązania: istniejąca już grupa testowała nowe oprogramowanie lub też mamy do czynienia z nową grupą hakerów. Mimo niepewności firma podkreśla, że wszystkie poszlaki wskazują obecnie na chińskich hakerów.
Przed siedzibą biura Rubin w Petersburgu stoi pomnik z modelami (w tej samej skali) okrętu podwodnego projektu 941 Akuła i pierwszego rosyjskiego okrętu podwodnego Dielfin.
(Apetrov09703, Creative Commons Attribution-Share Alike 4.0 International)
Sam atak był bardzo dobrze przygotowany. Hakerzy wiedzieli, do kogo piszą, i byli w stanie stworzyć maila i grafikę niebudzące podejrzeń, a wręcz sprawiające wrażenie wiadomości wewnętrznej i tym samym zachęcające Wilnita do otwarcia załącznika. Reszta zdarzeń pozostaje niejasna. Nie wiadomo, kiedy przeprowadzono atak, do jakiego stopnia napastnikom udało się zinfiltrować sieć Rubina ani czy skradziono jakieś dokumenty.
Zawartość serwerów biura konstrukcyjnego jest niewątpliwie atrakcyjna dla służb wywiadowczych wszystkich państw budujących okręty podwodne i nie tylko. Rubin zaprojektował między innymi atomowe podwodne nosiciele rakiet balistycznych projektu 955 Boriej i 955A Boriej-A czy zmodyfikowany okręt projektu 949A Biełgorod wraz z jego głównym uzbrojeniem, czyli bezzałogowymi pojazdami podwodnymi o napędzie atomowy Posiejdon (Status-6), zdolnymi do przenoszenia głowic jądrowych. Rubin zaangażowany jest także w prace nad innymi bezzałogowymi pojazdami podwodnymi, takimi jak autonomiczny Kławiesin-2R-PM.
Nie pierwsza taka afera
Pierwsza chińsko-rosyjska afera szpiegowska z okrętami podwodnymi w roli głównej zaczęła się w lutym ubiegłego roku, gdy FSB aresztowała przewodniczącego Akademii Nauk Arktycznych, doktora habilitowanego Walerija Mitkę. Postawiono mu zarzut szpiegostwa na rzecz Chińskiej Republiki Ludowej. Według śledczych Mitko przekazywał chińskiemu wywiadowi dane na temat rosyjskich okrętów podwodnych, a także sposobów i technik wykrywania okrętów podwodnych.
Z racji intensywnej rozbudowy floty podwodnej dostęp wszelkimi metodami do rosyjskiego know-how jest dla Chińczyków bardzo cenny. Szczególnym obiektem zainteresowania chińskich służb może być wyciszanie atomowych okrętów podwodnych. Rosyjskie biura konstrukcyjne mają na tym polu bardzo duże osiągnięcia, zaś w Chinach, mimo dużych nakładów i sporych osiągnięć, rezultaty nadal nie są zadowalające. Chińskie jednostki, zwłaszcza nosiciele pocisków balistycznych, mają opinię bardzo głośnych.
Tym bardziej interesujące okazały się informacje agencji RIA Nowosti z września 2020 roku o rozpoczęciu przez oba państwa prac nad nowym typem konwencjonalnych okrętów podwodnych. Chiny wyrosły w tej dziedzinie na konkurenta Rosji na rynkach międzynarodowych, jednak rozwiązania techniczne opracowane w obu krajach wzajemnie się uzupełniają, co stwarza pole do współpracy.
Przede wszystkim Chińczycy zdecydowanie wyprzedzili Rosjan w opracowywaniu i wdrażaniu napędu niezależnego od powietrza (AIP). Pomimo szumnych zapowiedzi okręty podwodne projektu 677 Łada nadal nie zostały wyposażone w moduły AIP, co ma być winą nie tyle braku odpowiednich rozwiązań technicznych, ile niedostatecznego finansowania. Innym polem, na którym Chińczycy znacząco wyprzedzili Rosjan, mają być akumulatory litowo-jonowe.
Możliwe więc, że współpraca zmierza do stworzenia wersji projektu 636 lub 677 z chińskim napędem niezależnym od powietrza i akumulatorami litowo-jonowymi. Niemniej Rosjanie nadal utrzymują przewagę na polu sonarów i uzbrojenia. Szczególnym atutem jest system pocisków manewrujących Kalibr, dający okrętom podwodnym szerokie zdolności zwalczania celów nawodnych i naziemnych.
Zobacz też: Były prezydent DRK wynajmował izraelskich cyberszpiegów
(bleepingcomputer.com, thedrive.com)
