В последние годы сфера кибербезопасности становится все более критичной для государственных и промышленных структур, особенно в стратегически важных отраслях, таких как аэрокосмическая и оборонная промышленность России. Недавние события привлекли внимание к новой кампании кибершпионажа под названием "Operation CargoTalon", в рамках которой злоумышленники используют бэкдор EAGLET для получения несанкционированного доступа к информационным системам ведущих российских предприятий. Эта кампания имеет серьезные последствия для национальной безопасности и требует пристального внимания экспертов. Кибершпионаж в российском аэрокосмическом секторе не является новым феноменом, однако активизация атаки с использованием EAGLET свидетельствует о высоком уровне организации и технической оснащенности хакерской группировки, известной под обозначением UNG0901 — Unknown Group 901. Именно эта группа нацелилась на сотрудников одной из крупнейших авиационных компаний России — Воронежского авиастроительного производственного объединения (ВАСО).
Основой успешной атаки стали тщательно разработанные фишинговые письма с темой, связанной с грузовыми перевозками. В этих письмах содержатся вложения в виде ZIP-архивов, в которых расположен специальный ланчер — Windows shortcut (LNK) файл. Запуск этого файла инициирует выполнение PowerShell скрипта, который демонстрирует жертве поддельный документ Microsoft Excel. Однако, параллельно с этим, происходит внедрение вредоносного модуля EAGLET, выполняющего роль бэкдора для дальнейшего контроля зараженного компьютера. Выбор тематики грузоперевозок и транспортных накладных (товарно-транспортная накладная, сокращенно ТТН) не случаен.
Данная документация является важной и привычной для сотрудников логистических и производственных подразделений, что повышает вероятность открытия вложения. Особое внимание стоит уделить использованию имён и ссылок, связанных с компанией Obltransterminal — оператором железнодорожных контейнерных терминалов, который подвергся санкциям со стороны американского Минфина в феврале 2024 года. Это добавляет элемент аутентичности фальшивым документам и может служить маркером для анализа мотиваций угрозы. После успешного заражения система начинает собирать ключевую информацию о конфигурации и состоянии заражённого устройства, а затем устанавливает связь с заранее заданным сервером управления по IP адресу 185.225.
17.104. По протоколу HTTP сервер передает команды, которые выполняет имплант. Среди известных функций EAGLET — доступ к командной оболочке Windows, возможность загрузки и скачивания файлов. Это создает широкие возможности для злоумышленников, включая возможность дальнейшего развертывания дополнительных вредоносных компонентов, хотя точные подробности о последующих payload’ах пока не раскрыты ввиду того, что сервера командования и управления (C2) сейчас недоступны.
Интересно, что исследователи также обнаружили наличие схожих кампаний с использованием EAGLET, нацеленных на военный сектор России. Кроме того, просматриваются пересечения в исходном коде и методах работы с другой группой, известной под именем Head Mare. Подобный анализ позволяет предполагать, что атакующие применяют инструменты с функциональной схожестью, например бэкдор PhantomDL, написанный на языке Go и обладающий похожим набором возможностей, что свидетельствует о взаимном заимствовании или общих корнях угроз. В то же время не стоит ограничивать внимание только одной группировкой. Российская государственная хакерская организация UAC-0184, известная также как Hive0156, в начале 2025 года была связана с новым витком атак против украинских целей, где использовалась вредоносная программа Remcos RAT.
В этих атаках применяются упрощённые цепочки заражения, которые также основаны на LNK и PowerShell файлах, служащих для загрузки и запуска Hijack Loader (IDAT Loader), а затем основной шпионской программы Remcos. Этот пример показывает, что современные угрозы активно развиваются, используют автоматизацию и упрощают свои методы, делая социальную инженерию и эксплуатацию системных уязвимостей более эффективными. Фишинговые послания, которыми оперируют эти группировки, несут тематические подсказки. Например, документы-заглушки часто фокусируются на украинской военной тематике, что говорит об изменении приоритетов и расширении спектра целей потенциальных жертв. Это отражает геополитическую ситуацию и нарастание масштабов кибервойн, где технологии становятся мощным оружием.
Эксперты по кибербезопасности подчеркивают важность своевременного обнаружения подобных угроз и разработки новых средств защиты. Обычные антивирусные средства уже не всегда справляются с современными сложными атаками с многоступенчатыми цепочками заражения и использованием легитимных системных инструментов, таких как PowerShell. В связи с этим растет востребованность интегрированных систем мониторинга с использованием искусственного интеллекта и поведенческого анализа. Повышенное внимание также уделяется формированию культуры безопасности среди сотрудников, особенно в организациях с высоким уровнем риска. Обучение фишинговой устойчивости, проверка вложений и ограничение привилегий для запуска скриптов — одно из направлений снижения вероятности успешной эксплуатации.
Дополнительно, уязвимости в цепочке поставок и использовании сторонних сервисов, таких как логистические операторы, могут служить дополнительными каналами для внедрения вредоносных программ. Комплексный аудит и жесткий контроль доступа к данным имеют стратегическое значение. Кампания Operation CargoTalon демонстрирует, что угрозы кибершпионажа в отношении российских стратегических отраслей становятся все более изощренными и требуют от специалистов технической и организационной дисциплины. Совместные усилия отраслевых экспертов, государственных структур и международных партнёров — ключ к успешной защите национальной информационной инфраструктуры. В заключение, развитие событий вокруг использования бэкдора EAGLET и активности групп UNG0901 и Hive0156 ясно показывает, что информационная безопасность теперь является одним из краеугольных камней национальной безопасности.
Современные атаки сочетают социальную инженерию, технические инновации и геополитические цели, что требует постоянного обновления знаний, инструментов и подходов для снижения рисков. Лишь комплексный и системный подход позволит эффективно противостоять новым вызовам и обеспечить устойчивую работу аэрокосмического и оборонного секторов России в цифровую эру.
