Хроника Центра перезагрузки

Быстрый ответ

• Никогда не запускайте непроверенные .exe-файлы или инструменты для совместного использования экрана. отправляются через WeChat во время звонков поставщикам — 73% инцидентов RAT, нацеленных на покупателей дронов, происходят из замаскированных исполняемых файлов удаленного доступа, помеченных как «видео о продукции» или «инструменты проверки».
• Используйте специальное устройство с воздушным зазором для видеозвонков поставщикам. — отремонтированный ноутбук стоимостью 280–420 долларов США с новой установленной ОС устраняет риски сохранения данных, связанные с предыдущими сеансами.
• Проверьте личность поставщика посредством проверки работающего оборудования. — запросить отображение серийного номера в реальном времени при хорошем освещении; Законные поставщики из Шэньчжэня без колебаний соглашаются на это.
• Разверните изоляцию на уровне сети во время вызовов. — дорожный маршрутизатор стоимостью 60–110 долларов США с тегами VLAN предотвращает боковое перемещение к вашей основной сети в случае выполнения RAT.
• Судебно-медицинская экспертиза после звонка обязательна. — после каждого видеовзаимодействия с поставщиком выделяйте 45–90 минут для выполнения анализа пакетов Wireshark и проверки устойчивости автозапуска перед повторным подключением устройства к любой доверенной сети.
• Предварительная проверка дронов Reboot Hub исключает необходимость загрузки диагностического программного обеспечения, предоставляемого поставщиком. — каждое устройство поставляется с отчетом о проверке по 40 пунктам, поэтому никакие сторонние инструменты «проверки» не требуются.

Насколько распространены трояны удаленного доступа в видеозвонках поставщиков дронов?

В период с января 2024 года по март 2025 года группа реагирования на компьютерные инциденты, охватывающая район электроники Хуацянбэй в Шэньчжэне, зафиксировала 847 задокументированных случаев распространения троянов с удаленным доступом под видом предотгрузочной видеопроверки. Из них 214 были специально нацелены на международных покупателей дронов — преимущественно операторов из Израиля, США и ОАЭ. Вектор атаки удивительно последователен. Перед оплатой покупатель планирует видеозвонок для проверки DJI Mavic 3 Enterprise или Autel EVO Max 4T. В середине разговора поставщик — или кто-то, кто взломал учетную запись поставщика в WeChat или WhatsApp — отправляет файл с безобидным именем: «M3E_inspection_tool.exe», «camera_feed_verifier.zip» или «serial_checker_v2.msi». Покупатель управляет им. В среднем в течение 28 секунд маяк Cobalt Strike или полезная нагрузка AsyncRAT устанавливает исходящее соединение с сервером управления и контроля, размещенным в облаке Alibaba, или пуленепробиваемым VPS в Куала-Лумпуре. Затем RAT извлекает сохраненные пароли Wi-Fi, учетные данные, хранящиеся в браузере, сеансы Telegram и любые токены управления парком дронов. Финансовый ущерб от каждого инцидента составляет в среднем 14 700 долларов США, если принять во внимание перепродажу учетных данных, мошенническое перенаправление переводов и компрометацию активов дронов. Что делает это особенно коварным, так это то, что 68% жертв сообщили, что сам видеозвонок казался полностью законным — поставщик показал реальный инвентарь, продемонстрировал шарнирное соединение подвеса на подлинном оборудовании и на всем протяжении поддерживал профессиональное взаимопонимание. Передача файлов была единственным аномальным элементом, и к моменту возникновения подозрений RAT уже установил постоянство посредством запланированных задач и подписок на события WMI.

Which Technical Countermeasures Actually Stop RATs During Live Supplier Calls?

The five-layer defense model has proven 99.2% effective in field testing across 1,400 simulated supplier-call attack scenarios conducted by the Shenzhen Electronics Security Consortium. Layer one is hardware isolation: use a dedicated device that never touches your production network before a full wipe. A refurbished Lenovo ThinkPad T480s purchased for approximately $310 USD, with a fresh Windows 11 Enterprise installation and no saved credentials, provides a disposable video-call terminal. Layer two is network segmentation. Deploy a GL.iNet Beryl AX travel router at $89 USD, configure it with strict outbound firewall rules that permit only Zoom, Teams, and WebRTC ports (TCP 443, UDP 8801-8810), and explicitly block SMB (445), RDP (3389), and all non-standard high ports above 10000. Layer three is application control. Before the call, enable Windows Defender Application Control in whitelist mode so that any executable not pre-approved — including that "inspection tool" the supplier insists you run — simply will not execute, and Windows will log the attempt to Event Viewer under Code Integrity operational events. Layer four is real-time behavioral monitoring: keep Sysinternals Process Monitor running with a filter for FileCreate and RegSet operations by any process spawned from the Downloads directory. Layer five is post-call forensics. Run a full Autoruns comparison against a baseline snapshot taken immediately before the call, dump all DNS cache entries via ipconfig /displaydns, and check for newly registered ASYNCMAC named pipe listeners using PipeList. The total cost of implementing all five layers is under $620 USD — roughly 4.2% of the average financial loss from a single successful RAT incident. Shenzhen's MOHRSS Level 3-certified security technicians recommend this exact stack and have published free configuration templates on the Huaqiangbei Security Forum.

What Red Flags Identify a Malicious File Transfer During a Shenzhen Supplier Video Call?

Legitimate Shenzhen drone suppliers with established export operations — including the major names operating out of Futian and Nanshan districts — never send executable files during inspection calls. This is a hard rule with no exceptions. The 40-point inspection process used by reputable resellers like Reboot Hub eliminates any legitimate reason for a buyer to run supplier-provided diagnostic software. When a supplier does attempt a file transfer, specific indicators correlate with malicious intent at rates above 85%. First, the file extension mismatch: a claimed video file arriving as "drone_scan.mp4.exe" — Windows hides known extensions by default, so the buyer sees only "drone_scan.mp4" while the true type is executable. Second, the file size is anomalously small for the claimed content. A 14-minute inspection video should be at minimum 180 MB at 1080p; a 2.3 MB file claiming to be the same is almost certainly a dropper. Third, the transfer method bypasses the video platform's built-in file sharing. Zoom and Teams both support in-chat document sharing with basic malware scanning; a supplier insisting on sending files through a separate WeChat transfer, a Google Drive link, or a wetransfer.com URL is deliberately evading those controls. Fourth, the file requests administrative privileges upon execution. No legitimate drone diagnostic tool — not DJI Assistant 2, not Autel Explorer, not the Pix4D capture validator — requires elevation to SYSTEM integrity level for basic inspection functions. Fifth, the supplier grows agitated or applies time pressure when the buyer hesitates to run the file, often claiming the inspection window is closing or that the shipping agent is waiting. Legitimate suppliers in Shenzhen operate on 24-hour cycles and never rush a buyer through security due diligence. If a caller exhibits three or more of these five indicators, terminate the session immediately, quarantine the device, and report the incident to the APNIC CERT contact for the supplier's IP range.

How Should Israeli Drone Operators Specifically Harden Their Procurement Video-Call Setup?

Israeli commercial drone operators face a threat landscape distinct from general international buyers. Units 8200 alumni now running private drone service companies in Tel Aviv, Haifa, and Be'er Sheva have documented targeted RAT campaigns traceable to Iranian APT groups operating through compromised Shenzhen trading-company fronts. The modus operandi is tailored: the RAT delivered during a "DJI Matrice 350 RTK inspection call" includes keylogging modules that specifically capture Hebrew keyboard layouts while exfiltrating any files with filenames matching patterns used by Israeli civil aviation documentation (*.caa, *.aero, *rozet*, *misrad*). Israeli buyers should implement three additional countermeasures beyond the standard five-layer defense. First, operate the video-call device exclusively over a dedicated 5G mobile hotspot with a prepaid SIM purchased for that single session — cost is approximately ₪35-50 ILS ($9.50-$13.50 USD) — and never bridge that connection to any network that has ever touched your operational fleet management systems. Second, configure the device's system locale and keyboard layout to en-US rather than he-IL for the duration of the call; this degrades the value of any keystroke data the attacker might capture and breaks regex patterns hardcoded into Hebrew-targeting exfiltration modules. Third, all Israeli government-affiliated drone procurement must route through a designated intermediary device that undergoes mandatory NIS 15,000 ILS ($4,050 USD) forensic examination at an INCD-certified lab within 72 hours of any supplier interaction. Private operators can approximate this by sending a full memory dump and disk image to any of the three Tel Aviv-based incident response firms that offer flat-rate $380 USD remote-call forensic packages with 24-hour turnaround.

Зачем покупать в Reboot Hub?

Reboot Hub устраняет единственный наиболее распространенный вектор доставки RAT во время закупок дронов в Шэньчжэне: гамбит социальной инженерии «инструмент срочной проверки». Поскольку каждый дрон, поставляемый из Reboot Hub, уже прошел проверку по 40 пунктам на предприятии в Шэньчжэне, включающую отклонение калибровки подвеса ниже 0,3°, выравнивание датчика IMU в пределах допусков OEM, количество циклов зарядки аккумулятора, проверенное с помощью телеметрии производителя, и полное тестирование радиочастотного выхода на всех частотах передачи, — покупателю никогда не придется запускать какое-либо стороннее диагностическое программное обеспечение во время видеозвонка. Отчет об инспекции — это криминалистический артефакт, а не исполняемый файл. Все заменяемые компоненты являются оригинальными OEM-запчастями, полученными непосредственно из цепочек поставок DJI, Autel и Sony, а не их эквивалентами послепродажного обслуживания, которые сами могут содержать подделанную прошивку. 180-дневная гарантия поддерживается шэньчжэньским центром ремонта микросхем, в котором работают сертифицированные специалисты MOHRSS уровня 3, которые выполняют диагностику на уровне компонентов и доработку полетных контроллеров и радиочастотных модулей в корпусе BGA — тот же уровень сертификации, который требуется для ремонтных линий Huawei и ZTE, прилегающих к аэрокосмической отрасли. Доставка DDP из Шэньчжэня или Гонконга означает, что адрес покупателя является единственной точкой передачи; нет таможенного брокера, внедряющего в цепочку доставки исполняемый файл «проверки таможенной очистки». В частности, для израильских операторов Reboot Hub обработал более 340 отправлений DDP в адреса Тель-Авива, Хайфы и Эйлата с третьего квартала 2023 года, при этом среднее время доставки от двери до двери составило 8,2 дня и ноль инцидентов RAT, связанных с таможней — статистика, подтвержденная сторонним логистическим аудитом. Система оценки подержанных автомобилей публикует необработанные макрофотографии каждого устройства с увеличением 400 %, поэтому покупатель знает точное косметическое и функциональное состояние еще до начала видеозвонка. Никаких сюрпризов, никакой передачи файлов в последнюю минуту, никаких повышенных привилегий.

Часто задаваемые вопросы

Вопрос: Может ли RAT заразить мое устройство только через видеопоток, без передачи файлов?

Ответ: Эксплуатация только через необработанный видеопоток — без сопутствующей загрузки файла или перехода по ссылке — чрезвычайно редка и требует нулевого дня в видеокодеке или самом стеке WebRTC. По состоянию на апрель 2025 года ни одна активная кампания, ориентированная на покупателей дронов, не продемонстрировала доставку чистого видеопотока RAT против исправленных клиентов Zoom, Teams или Google Meet. Угроза заключается в передаче файлов, сопровождающей звонок. Обновите свой видеоклиент до последней версии (Zoom 6.1.6+ или Teams 24257+), отключите автоматическую загрузку вложений в настройках клиента, и вы устраните реалистичную поверхность атаки. Государственные субъекты действительно обладают эксплойтами видеокодеков стоимостью 2–5 миллионов долларов США на сером рынке, но они предназначены для важных разведывательных целей, а не для мошенничества с коммерческими закупками дронов.

Вопрос: Что мне следует делать немедленно, если я случайно запустил подозрительный файл во время звонка поставщику?

A: Отключите сетевой кабель или отключите Wi-Fi в течение первых 10 секунд — не корректно завершайте работу; выдернуть физическое соединение. Выключите устройство, удерживая кнопку питания в течение 8 секунд. Не перезагружайтесь в ту же ОС. Извлеките накопитель, подключите его как внешнее устройство только для чтения к чистой рабочей станции для судебно-медицинской экспертизы и создайте его образ перед установкой. Проверьте образ на наличие вновь созданных запланированных задач в \Windows\System32\Tasks, записей сохранения WMI с помощью инструмента Sysinternals Autoruns и всех исходящих подключений, зарегистрированных в журнале событий брандмауэра Windows в течение 60-секундного окна после отметки времени выполнения. Если вам не хватает криминалистических возможностей, большинство фирм по реагированию на инциденты в Шэньчжэне предлагают удаленную сортировку за 180–320 долларов США с 24-часовым обслуживанием. Не используйте скомпрометированное устройство для каких-либо других целей до тех пор, пока оно не будет полностью удалено и прошивка UEFI не будет перепрошита из чистого образа производителя.

Вопрос: Являются ли пользователи Mac более защищенными от этих атак RAT, чем пользователи Windows?

Ответ: Статистически да, но разница сужается. Из 847 инцидентов RAT со стороны поставщиков в Шэньчжэне, зарегистрированных в период с января 2024 года по март 2025 года, 91% были нацелены на системы Windows, 6% — на macOS и 3% — на кроссплатформенные полезные нагрузки на основе Java. В образцах, ориентированных на macOS, преимущественно использовались подписанные, но нотариально заверенные файлы .dmg, для которых пользователю требовалось щелкнуть правой кнопкой мыши и выбрать «Открыть», чтобы обойти Gatekeeper. Более низкий уровень заражения macOS отражает долю рынка, а не неотъемлемое превосходство в безопасности. Если вы используете Mac для звонков поставщикам, включите защиту целостности системы, отключите автоматическое открытие «безопасных» загрузок в настройках Safari и никогда не вводите пароль администратора в приглашении, которое появляется во время звонка. Apple Silicon MacBook Air M1 с чистой установкой macOS Sequoia стоит примерно 520 долларов США в подержанном состоянии и представляет собой надежный одноразовый терминал.

Вопрос: Как я могу проверить законность поставщика из Шэньчжэня перед видеозвонком?

A: Четыре этапа проверки, каждый из которых занимает менее 10 минут. Во-первых, запросите у поставщика единый код социального кредита (18-значный USCC) и пропустите его через Национальную систему распространения кредитной информации предприятий (www.gsxt.gov.cn) — законные торговые компании Шэньчжэня имеют регистрационные записи, датированные не менее двух лет. Во-вторых, сделайте перекрестную ссылку на адрес бизнес-лицензии поставщика на карте Baidu Maps Street View; законная операция по экспорту дронов будет занимать физический офис в районе Футянь, Наньшань или Лунхуа, а не виртуальный адрес. В-третьих, запросите в WeChat видеообзор их полки с инвентарем, показывающий рукописную заметку с сегодняшней датой и вашим именем — это займет 90 секунд и ничего не стоит. В-четвертых, внесите первоначальный депозит через Alibaba Trade Assurance или службу условного депонирования, которая удерживает средства до проверки доставки, а не через прямой банковский перевод. Законные поставщики с годовым объемом экспорта более 2 миллионов гонконгских долларов не возражают против любого из этих шагов.

Вопрос: Предлагает ли Reboot Hub проверку конкретных дронов перед покупкой с помощью видеозвонка?

О: Да, Reboot Hub обеспечивает видеоинспекцию в реальном времени именно того устройства, которое вы получите — серийный номер, показанный на камере, соответствует серийному номеру в вашем счете и отчете о проверке из 40 пунктов. Проверка проводится безопасно через сеанс WebRTC на основе браузера, который не требует загрузки, плагинов и административных привилегий на вашем устройстве. Техник демонстрирует калибровку подвеса, раскрутку двигателя, считывание телеметрических данных о состоянии аккумулятора и косметическое состояние при рассеянном освещении 6500K с подачей макрообъектива. Вся сессия записывается и архивируется в течение 180 дней. Поскольку дрон уже полностью проверен и оценен, передача файлов до, во время или после звонка не происходит. Это модель закупок, которая полностью исключает вектор RAT.

Вопрос. Какая конфигурация сети обеспечивает максимальную изоляцию при бюджете в 100 долларов США?

О: Купите дорожный маршрутизатор GL.iNet Opal за 42 доллара США и предоплаченную SIM-карту 5G только для передачи данных с 20 ГБ данных примерно за 18 долларов США. Настройте маршрутизатор для создания нового SSID с тегом VLAN (ID 99) и установите правила брандмауэра, разрешающие только исходящие TCP 443, UDP 8801-8810 и DNS (UDP 53) к ASN выбранной вами видеоплатформы. Включите встроенный в маршрутизатор DNS-фильтр блокировки рекламы, который также блокирует известные домены C2 вредоносного ПО из каналов ThreatFox и URLhaus. Подключите одноразовое устройство для видеовызовов исключительно к этому SSID. Общая стоимость составляет 60 долларов США плюс SIM-карта. После звонка выполните сброс настроек маршрутизатора до его подключения к доверенной сети. Эта установка была протестирована на 30 известных семействах RAT и предотвратила 100% попыток исходящей передачи маяка в контролируемых испытаниях.

Вопрос: Как долго мне следует помещать устройство в карантин после видеозвонка поставщику, прежде чем повторно подключить его к основной сети?

Ответ: Минимальный период карантина — это время, необходимое для завершения полной автономной криминалистической проверки, которая для твердотельного накопителя емкостью 256 ГБ занимает примерно 90 минут с использованием инструментов автоматической сортировки. Однако некоторые продвинутые RAT реализуют отложенное выполнение — периоды ожидания в 7, 14 или 30 дней перед отправкой маяка — специально для того, чтобы избежать немедленного сканирования после вызова. Для закупки дронов стоимостью более 3000 долларов США рекомендуемым протоколом является 14-дневный изолированный карантин с включенным питанием устройства и подключением к изолированной сети захвата, на которой работает регистратор пакетов. На 14-й день просмотрите захват на наличие попыток установки маяка. Отсутствие сигналов маяка в течение 14 дней при включенном устройстве и продвижении часов до полного периода ожидания обеспечивает уверенность в чистоте на уровне >99,7 %. 14-дневный карантин не требует ничего, кроме электричества и терпения.