Інспекторат NASA (Office of Inspector General, OIG) оприлюднив деталі багаторічної spear-phishing кампанії, у межах якої громадянин Китаю під чужим ім’ям отримував доступ до чутливого програмного забезпечення та вихідного коду для аерокосмічних і оборонних розробок. Схема не лише становила серйозний ризик національній безпеці, а й призвела до системних порушень законів США про експортний контроль.
Складна spear‑phishing кампанія проти NASA та оборонного сектору
За даними OIG, багато співробітників NASA та їхніх зовнішніх партнерів були переконані, що обмінюються спеціалізованим ПЗ з американськими колегами. Насправді значна частина цих матеріалів надсилалась китайському громадянину, який видавав себе за дослідників зі США.
У вересні 2024 року Міністерство юстиції США висунуло офіційні обвинувачення проти фігуранта справи — громадянина Китаю на ім’я Song Wu. Слідство вважає, що з січня 2017 по грудень 2021 року він організував і координував операцію, спрямовану на десятки професорів, науковців та інженерів у США.
Серед жертв фігурують співробітники NASA, ВПС, ВМС, Сухопутних військ США, Федерального управління цивільної авіації (FAA), а також провідних університетів та приватних високотехнологічних компаній. Основною ціллю було моделювальне програмне забезпечення для аеродинамічних розрахунків, проєктування літальних апаратів і оцінки характеристик озброєнь.
Згідно з обвинувальним висновком, Song Wu працював інженером в Aviation Industry Corporation of China (AVIC) — великому китайському державному аерокосмічному та оборонному концерні. Він та його спільники детально вивчали потенційні цілі: аналізували наукові публікації, профілі у професійних мережах, участь у проєктах та коло контактів. На цій основі вибудовувалась персоналізована комунікація, у якій зловмисник маскувався під знайомих або колег жертв.
Цей підхід і є сутністю spear-phishing: на відміну від масового фішингу, листи орієнтовані на конкретну людину, написані її професійною мовою, враховують поточні дослідження та внутрішні процеси. За даними публічних галузевих звітів (наприклад, Verizon DBIR), саме таргетований фішинг залишається одним з найпоширеніших векторів початкового доступу при кібершпигунстві.
Експортний контроль США та кримінальне переслідування
NASA OIG наголосив, що схема виявилася успішною у низці випадків: окремі вчені й інженери направляли конфіденційне ПЗ та вихідний код на адреси, які контролювалися зловмисниками. Багато хто навіть не усвідомлював, що таким чином порушує законодавство США про експортний контроль, яке обмежує передачу певних технологій іноземним особам і організаціям.
Song Wu інкримінується один епізод шахрайства із використанням засобів зв’язку (wire fraud) та 14 епізодів отягченої крадіжки особистості (aggravated identity theft) — зокрема, привласнення особистих даних американських інженерів і науковців для спілкування з новими жертвами. За кожен епізод wire fraud передбачено до 20 років ув’язнення, а за крадіжку особистості — додаткові два роки, які відбуваються послідовно. За інформацією американських властей, 40‑річний обвинувачений наразі переховується.
ФБР включило його до переліку найбільш розшукуваних осіб. За оцінкою Бюро, отримане програмне забезпечення може бути задіяне не лише в цивільних проєктах, а й у розробці високоточної тактичної ракетної зброї та аеродинамічному моделюванні військових систем, що суттєво підвищує чутливість інциденту.
Ключові уроки для кібербезпеки наукових і оборонних організацій
Як розпізнати spear-phishing та експортне шахрайство
Навіть ретельно сплановані кампанії залишають ознаки, за якими можна виявити зловмисника. У розглянутому кейсі виділяються характерні індикатори:
Повторні запити одного й того самого ПЗ з різних адрес або від «однієї й тієї ж» особи без чітко поясненої причини повторної передачі. Це часто свідчить про спробу обійти політики доступу чи журналювання.
Підозрілі фінансові схеми: незвичні або непрозорі варіанти оплати, раптові зміни платника, прохання використати треті сторони чи компанії‑«прокладки» для оплати ліцензій.
Нетипові канали передачі ПЗ і ключів: наполегливі прохання вислати файли, ключі активації або доступ до репозиторіїв поза стандартними корпоративними системами — на особисті поштові скриньки чи через маловідомі хмарні сервіси.
Практичні заходи захисту для дослідницьких команд
Інцидент із NASA демонструє, що навіть висококваліфіковані вчені вразливі, якщо процеси інформаційної безпеки та експортного контролю не інтегровані в щоденну роботу. Для зниження ризиків доцільно:
Формалізувати процедури передачі ПЗ і вихідного коду. Будь-яка передача чутливих матеріалів має відбуватись лише через затверджені канали з фіксацією одержувача, мети використання та погодженням із відповідальними за безпеку та експортний контроль.
Перевіряти особу запитувача через незалежні канали. Не покладатися виключно на адресу електронної пошти чи підпис у листі. Верифікувати запит через офіційні контакти організації, відеозустрічі, внутрішні реєстри партнерів та контрагентів.
Системно навчати персонал кібергігієні та експортному праву. Наукові колективи часто недооцінюють ризики промислового та державного шпіонажу. Регулярні тренінги з розпізнавання spear-phishing, правил роботи з конфіденційними даними та базових вимог експортного контролю критично важливі.
Обмежувати доступ до спеціалізованого ПЗ за принципом «мінімально необхідного». Чітко визначати коло осіб, які дійсно потребують доступу; застосовувати багатофакторну автентифікацію, реєстрацію всіх операцій, періодичний перегляд прав доступу.
Вбудовувати експортний контроль у ІТ‑інфраструктуру. Інтеграція DLP‑рішень, автоматичні перевірки одержувачів за санкційними та партнерськими списками, а також контроль вивантаження коду й ПЗ суттєво зменшують імовірність випадкової передачі технологій стороннім державам.
Історія Song Wu показує, що цільові фішингові атаки проти науковців та інженерів стали ключовим інструментом кібершпигунства. Організаціям, які працюють із передовими технологіями, варто розглядати кожен зовнішній запит на моделювальне ПЗ, вихідний код чи дані випробувань як потенційно ризиковий. Інвестиції в захист людей і процесів, а не лише інфраструктури, дають змогу зірвати подібні операції ще на стадії першого листа в поштовій скриньці.
