Предположительно китайские государственные хакеры атаковали крупнейшего в России конструктора атомных подводных лодок

06.05.2021, 17:08, Разное
  Подписаться на Telegram-канал
  Подписаться в Google News
  Поддержать в Patreon

By Ionut Ilascu    April 30, 2021  

Хакеры, предположительно работающие на  правительство Китая, использовали новое вредоносное ПО под названием PortDoor для проникновения в компьютерные системы инженерной компании, проектирующей подводные лодки для ВМФ России.

Они использовали целевое фишинговое письмо, специально созданное для того, чтобы спровоцировать  генерального директора компании открыть вредоносный документ.

Конкретное нацеливание

Злоумышленники  нацелились на Центральное конструкторское бюро морского машиностроения «Рубин» в Санкт-Петербурге, оборонного подрядчика, спроектировавшего большинство российских атомных подводных лодок.

Бэкдор был доставлен в виде документа в формате RTF, прикрепленного к электронному письму, адресованному генеральному директору компании Игорю В. Вильниту.

Исследователи угроз Cybereason Nocturnus обнаружили, что злоумышленник спровоцировал  получателя открыть вредоносный документ с общим описанием автономного подводного аппарата.

Документ RTF, несущий бэкдор PortDoor. 

Копнув  глубже, исследователи обнаружили, что файл RTF был превращен в оружие с помощью RoyalRoad, инструмента для создания вредоносных документов с использованием  нескольких уязвимостей в Microsoft Equation Editor.

В прошлом использование RoyalRoad было связано с несколькими злоумышленниками, работающими от имени правительства Китая, такими как Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

При запуске документ RTF вставляет бэкдор PortDoor в папке автозагрузки Microsoft Word, маскируя его как файл надстройки, «winlog.wll».

Бэкдор PortDoor, замаскированный под надстройку Microsoft

Согласно анализу Cybereason, PortDoor представляет собой полноценный бэкдор с расширенным списком функций, которые делают его подходящим для множества задач:

  • Проведение разведки

  • Профилирование систем жертвы

  • Загрузка полезных данных с сервера управления и контроля

  • Повышение уровня полномочий 

  • Динамическое разрешение API для избежания статического обнаружения

  • Однобайтовое шифрование XOR (конфиденциальные данные, конфигурация)

  • эвакуация AES-шифрованных данных

В техническом отчете Cybereason Nocturnus Team описываются функциональные возможности вредоносной программы и приводятся индикаторы компрометации, чтобы помочь организациям защититься от нее .

Исследователи отнесли PortDoor к группе хакеров, спонсируемой китайским государством, на основании сходства в тактике, методах и процедурах с другими, связанными с Китаем, участниками угроз.

На основе работы с исследователем безопасности nao_sec,Cybereason был состоянии определить  что вредоносный RTF документ был создан с RoaylRoad v7 с кодировкой заголовка  связанной с операциями с Тонто Team (ака CactusPete), Ранкора и TA428.

CactusPete и TA428 известны атаками на организации в Восточной Европе (Россия) и Азии [1, 2, 3, 4]. Кроме того, Cybereason обнаружил лингвистические и визуальные элементы в фишинговом письме PortDoor и документах, которые напоминают приманки в атаках от Tonto Team.

Однако на уровне кода PortDoor не имеет существенного сходства с другими вредоносными программами, используемыми вышеупомянутыми группами, что указывает на то, что это новый бэкдор.

Атрибуция PortDoor со стороны Cybereason не вызывает большой уверенности. Исследователи знают, что за этим вредоносным ПО могут стоять и другие группы. Однако текущие данные указывают на злоумышленников китайского происхождения.

«В конце концов, мы также знаем, что могут быть другие группы, известные или пока неизвестные, которые могут стоять за атакой и разработкой бэкдора PortDoor. Мы надеемся, что со временем и с большим количеством собранных доказательств атрибуция может быть более конкретной »- Cybereason


Смотреть комментарииКомментариев нет


Добавить комментарий

Имя обязательно

Нажимая на кнопку "Отправить", я соглашаюсь c политикой обработки персональных данных. Комментарий c активными интернет-ссылками (http / www) автоматически помечается как spam

Политика конфиденциальности - GDPR

Карта сайта →

По вопросам информационного сотрудничества, размещения рекламы и публикации объявлений пишите на адрес: [email protected]

Поддержать проект:

ЮMoney - 410011013132383
WebMoney – Z399334682366, E296477880853, X100503068090

18+ © 2002-2023 РЫБИНСКonLine: Все, что Вы хотели знать...

Яндекс.Метрика