Связь между RedFoxtrot и Unit 69010 удалось обнаружить благодаря ошибкам в OpSec, допущенным одним из членов группировки.
Исследовательская команда Insikt Group ИБ-компании Recorded Future выявила связь между хакерской группировкой RedFoxtrot и Народно-освободительной армией Китая, в частности с подразделением «Unit 69010», оперирующим из Урумчи – административного центра Синьцзян-Уйгурского автономного района.
Unit 69010 является частью Бюро технической разведки – структуры в составе Сил стратегического обеспечения (ССО) при Департаменте сетевых систем Китая. В состав ССО входят подразделения, отвечающие за космическую, кибернетическую и радиоэлектронную войну.
Связь между компаниями по кибершпионажу RedFoxtrot, сосредоточенными на сборе разведданных о соседних странах, и Unit 69010 удалось обнаружить благодаря допущенным одним из членов группировки ошибкам в операционной безопасности (OpSec), раскрывшим физический адрес Бюро техразведки.
Атаки RedFoxtrot сфокусированы на правительственном, телекоммуникационном и оборонном секторах в странах Центральной Азии, Индии и Пакистане. В последние шесть месяцев группировка атаковала троих индийских подрядчиков в аэрокосмической и оборонной сфере, а также телекоммуникационные компании и правительственные ведомства в Афганистане, Индии, Казахстане и Пакистане.
Арсенал группировки включает опенсорсные и кастомные хакерские инструменты, в том числе бэкдоры семейства PlugX, вредоносное ПО Royal Road RTF, QUICKHEAL, PCShare, IceFog и троян для удаленного доступа Poison Ivy.
RedFoxtrot также использует инфраструктуру AXIOMATICASYMPTOTE наряду с модульным бэкдором для Windows под названием ShadowPad. Ранее специалисты Insikt Group связали данную инфраструктуру с другой группировкой – RedEcho, осуществившей атаки на энергетический сектор и критически важные объекты инфраструктуры Индии. В ходе атак преступники также использовали вредоносное ПО PlugX и ShadowPad.
Гравитация научных фактов сильнее, чем вы думаете