Инспекторат NASA (Office of Inspector General, OIG) раскрыл подробности сложной spear‑phishing кампании, в рамках которой гражданин Китая годами выдавал себя за американского исследователя. Под видом «коллеги по цеху» он получал доступ к чувствительному программному обеспечению и исходному коду, связанным с разработкой аэрокосмической и оборонной техники, нарушая законы США об экспортном контроле.
Как работала spear‑phishing атака против NASA, Пентагона и университетов
По данным OIG, многие сотрудники NASA и их внешние партнёры были уверены, что делятся специализированным ПО с американскими инженерами и исследователями. На практике они пересылали чувствительные материалы китайскому гражданину, выдававшему себя за учёных из США.
Министерство юстиции США в сентябре 2024 года обнародовало обвинения против фигуранта кампании — китайского гражданина по имени Song Wu. Следствие утверждает, что с января 2017 по декабрь 2021 года он организовал многолетнюю операцию, в рамках которой были атакованы десятки профессоров, исследователей и инженеров в США.
Среди жертв значатся сотрудники NASA, ВВС, ВМС, сухопутных войск США, Федерального управления гражданской авиации (FAA), а также крупных университетов и частных высокотехнологичных компаний. Объектом интереса злоумышленников было, прежде всего, моделирующее ПО для аэрокосмического проектирования и расчёта характеристик вооружений.
Согласно обвинительному заключению 2024 года, Song Wu работал инженером в Aviation Industry Corporation of China (AVIC) — крупном китайском государственном аэрокосмическом и оборонном концерне. Он и его сообщники тщательно изучали цели: анализировали публикуемые научные работы, профессиональные профили и контакты, а затем выстраивали доверительную коммуникацию, маскируясь под друзей и коллег потенциальных жертв.
Такая форма таргетированной атаки, известная как spear‑phishing, отличается от массового фишинга тем, что письма и запросы максимально персонализированы. Злоумышленник подстраивается под лексику, тематику исследований и привычные сценарии взаимодействия в научной среде, что резко повышает вероятность успешного обмана.
Нарушение экспортного контроля и уголовное преследование
OIG NASA подчеркнул, что схема оказалась результативной в ряде случаев: отдельные учёные и инженеры действительно передали конфиденциальное ПО и исходный код на контролируемые злоумышленниками адреса. При этом многие из них даже не подозревали, что тем самым нарушают экспортное законодательство США, которое ограничивает передачу определённых технологий иностранным лицам.
Song Wu обвиняется в одном эпизоде мошенничества с использованием средств связи (wire fraud) и в 14 эпизодах отягчённого хищения личности (aggravated identity theft — подмена личности инженеров и учёных США). Максимальное наказание за каждый эпизод wire fraud составляет до 20 лет лишения свободы, а за хищение личности предусмотрен дополнительный двухлетний срок, отбываемый последовательно. По данным американских властей, 40‑летний фигурант по‑прежнему скрывается.
ФБР включило его в список наиболее разыскиваемых лиц. По оценке Бюро, похищаемое специализированное ПО может использоваться не только в гражданской промышленности, но и в военной сфере — для разработки высокоточных тактических ракет и аэродинамического моделирования вооружений.
Кибербезопасность научных и оборонных проектов: ключевые уроки
Признаки экспортного и фишингового мошенничества
OIG NASA отмечает, что даже в сложных и хорошо спланированных кампаниях остаются признаки, по которым можно распознать мошенников. В рассматриваемом случае подозрение могли вызвать следующие моменты:
Многократные запросы одного и того же ПО с разных адресов или от лица «одного и того же» человека без убедительного обоснования, зачем требуется повторная передача.
Необычные и непрозрачные способы оплаты: предложения сомнительных банковских переводов, резкая смена плательщика, просьбы использовать третьих лиц или компании‑прокладки.
Нестандартные схемы передачи данных и поставки: попытки обойти стандартные каналы, просьбы отправить ПО или ключи активации не через корпоративные системы, а на личные почты или через нетипичные сервисы.
Практические меры защиты для исследовательских команд
Случай с NASA демонстрирует, что даже высококвалифицированные учёные и инженеры становятся уязвимыми, если процессы информационной безопасности и экспортного контроля не встроены в повседневную работу. Для снижения рисков полезно:
Формализовать процедуру передачи ПО и исходного кода. Любая передача чувствительных материалов — только через утверждённые каналы, с фиксацией получателя, цели использования и согласованием с ответственными за экспортный контроль и безопасность.
Проверять личность запрашивающего по независимому каналу. Не полагаться лишь на адрес электронной почты или подпись в письме. Перепроверять запрос через официальные контакты организации, видеозвонки, внутренние реестры партнёров.
Расширять обучение сотрудников по кибербезопасности. Научные коллективы часто недооценивают риски промышленного шпионажа. Регулярные тренинги по распознаванию spear‑phishing, правилам обращения с чувствительными данными и базам экспортного контроля критичны для защиты.
Ограничивать доступ к специализированному ПО по принципу минимально необходимого. Чётко определять, какие сотрудники и партнёры действительно нуждаются в доступе, использовать многофакторную аутентификацию и журналы аудита для отслеживания всех операций.
Встраивать экспортный контроль в ИТ‑процессы. Интеграция DLP‑систем и проверок получателей по санкционным и партнёрским спискам снижает вероятность того, что чувствительное ПО будет по ошибке отправлено иностранному злоумышленнику.
История с Song Wu показывает, что целевые фишинговые атаки против учёных, инженеров и исследовательских организаций стали важнейшим инструментом кибершпионажа. Организациям, работающим с передовыми технологиями, необходимо рассматривать каждый внешний запрос на доступ к моделирующему ПО, исходному коду или данным испытаний как потенциальный риск и строить защиту не только вокруг инфраструктуры, но и вокруг людей и процессов. Чем раньше такие сценарии будут учтены в регламентах и обучении, тем сложнее злоумышленникам будет повторить успех подобных кампаний.
