Спецслужбы
1,454,526 8,690
 

  Vediki977 ( Слушатель )
07 май 2021 15:44:21

Предположительно китайские государственные хакеры атаковали крупнейшего в России конструктора атомных подводных лодок

новая дискуссия Статья  349




Хакеры, предположительно работающие на  правительство Китая, использовали новое вредоносное ПО под названием PortDoor для проникновения в компьютерные системы инженерной компании, проектирующей подводные лодки для ВМФ России.

Они использовали целевое фишинговое письмо, специально созданное для того, чтобы спровоцировать  генерального директора компании открыть вредоносный документ.

Конкретное нацеливание
Злоумышленники  нацелились на Центральное конструкторское бюро морского машиностроения «Рубин» в Санкт-Петербурге, оборонного подрядчика, спроектировавшего большинство российских атомных подводных лодок.

Бэкдор был доставлен в виде документа в формате RTF, прикрепленного к электронному письму, адресованному генеральному директору компании Игорю В. Вильниту.

Исследователи угроз Cybereason Nocturnus обнаружили, что злоумышленник спровоцировал  получателя открыть вредоносный документ с общим описанием автономного подводного аппарата.




Документ RTF, несущий бэкдор PortDoor. 


Копнув  глубже, исследователи обнаружили, что файл RTF был превращен в оружие с помощью RoyalRoad, инструмента для создания вредоносных документов с использованием  нескольких уязвимостей в Microsoft Equation Editor.

В прошлом использование RoyalRoad было связано с несколькими злоумышленниками, работающими от имени правительства Китая, такими как Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

При запуске документ RTF вставляет бэкдор PortDoor в папке автозагрузки Microsoft Word, маскируя его как файл надстройки, «winlog.wll».


Бэкдор PortDoor, замаскированный под надстройку Microsoft


Согласно анализу Cybereason, PortDoor представляет собой полноценный бэкдор с расширенным списком функций, которые делают его подходящим для множества задач:

  • Проведение разведки

  • Профилирование систем жертвы

  • Загрузка полезных данных с сервера управления и контроля

  • Повышение уровня полномочий 

  • Динамическое разрешение API для избежания статического обнаружения

  • Однобайтовое шифрование XOR (конфиденциальные данные, конфигурация)

  • эвакуация AES-шифрованных данных


В техническом отчете Cybereason Nocturnus Team описываются функциональные возможности вредоносной программы и приводятся индикаторы компрометации, чтобы помочь организациям защититься от нее .

Исследователи отнесли PortDoor к группе хакеров, спонсируемой китайским государством, на основании сходства в тактике, методах и процедурах с другими, связанными с Китаем, участниками угроз.

На основе работы с исследователем безопасности nao_sec,Cybereason был состоянии определить  что вредоносный RTF документ был создан с RoaylRoad v7 с кодировкой заголовка  связанной с операциями с Тонто Team (ака CactusPete), Ранкора и TA428.

CactusPete и TA428 известны атаками на организации в Восточной Европе (Россия) и Азии [1234]. Кроме того, Cybereason обнаружил лингвистические и визуальные элементы в фишинговом письме PortDoor и документах, которые напоминают приманки в атаках от Tonto Team.

Однако на уровне кода PortDoor не имеет существенного сходства с другими вредоносными программами, используемыми вышеупомянутыми группами, что указывает на то, что это новый бэкдор.

Атрибуция PortDoor со стороны Cybereason не вызывает большой уверенности. Исследователи знают, что за этим вредоносным ПО могут стоять и другие группы. Однако текущие данные указывают на злоумышленников китайского происхождения.

«В конце концов, мы также знаем, что могут быть другие группы, известные или пока неизвестные, которые могут стоять за атакой и разработкой бэкдора PortDoor. Мы надеемся, что со временем и с большим количеством собранных доказательств атрибуция может быть более конкретной »- Cybereason

Ссылка
  • +0.25 / 7
  • АУ
ОТВЕТЫ (0)
 
Комментарии не найдены!