Эксперты обнаружили связь между APT RedFoxtrot и китайской армией

Исследовательская команда Insikt Group ИБ-компании Recorded Future выявила связь между хакерской группировкой RedFoxtrot и Народно-освободительной армией Китая, в частности с подразделением «Unit 69010», оперирующим из Урумчи – административного центра Синьцзян-Уйгурского автономного района.

Unit 69010 является частью Бюро технической разведки – структуры в составе Сил стратегического обеспечения (ССО) при Департаменте сетевых систем Китая. В состав ССО входят подразделения, отвечающие за космическую, кибернетическую и радиоэлектронную войну.

Связь между компаниями по кибершпионажу RedFoxtrot, сосредоточенными на сборе разведданных о соседних странах, и Unit 69010 удалось обнаружить благодаря допущенным одним из членов группировки ошибкам в операционной безопасности (OpSec), раскрывшим физический адрес Бюро техразведки.

Атаки RedFoxtrot сфокусированы на правительственном, телекоммуникационном и оборонном секторах в странах Центральной Азии, Индии и Пакистане. В последние шесть месяцев группировка атаковала троих индийских подрядчиков в аэрокосмической и оборонной сфере, а также телекоммуникационные компании и правительственные ведомства в Афганистане, Индии, Казахстане и Пакистане.

Арсенал группировки включает опенсорсные и кастомные хакерские инструменты, в том числе бэкдоры семейства PlugX, вредоносное ПО Royal Road RTF, QUICKHEAL, PCShare, IceFog и троян для удаленного доступа Poison Ivy.

RedFoxtrot также использует инфраструктуру AXIOMATICASYMPTOTE наряду с модульным бэкдором для Windows под названием ShadowPad. Ранее специалисты Insikt Group связали данную инфраструктуру с другой группировкой – RedEcho, осуществившей атаки на энергетический сектор и критически важные объекты инфраструктуры Индии. В ходе атак преступники также использовали вредоносное ПО PlugX и ShadowPad.