Un gruppo di hacker, sospettati di essere al soldo del governo cinese, ha impiegato un malware chiamato PortDoor per accedere ad alcuni sistemi di una azienda specializzata nella progettazione di sottomarini per la Marina russa.
La notizia vede il Rubin Central Design Bureau for Marine Engineering di San Pietroburgo al centro di questo attacco.
Secondo la ricostruzione degli esperti di Cybereason, gli hacker avrebbero inviato una mail all’Amministratore Delegato dell’azienda contenente un documento RTF “infetto” che parlava genericamente di un sistema sottomarino autonomo attraendo quindi la curiosità del dirigente.
Il documento era stato infettato impiegando RoyalRoad, un programma che “costruisce” documenti RTF sfruttando le vulnerabilità dell’editor equazioni di Microsoft.
Una volta aperto il file il malware PortDoor viene caricato come add-in all’interno della cartella estensioni di Microsoft Word.
A questo punto PortDoor può consentire l’accesso remoto o l’ingresso di un hacker da remoto per eseguire una serie di attività tra cui ricognizione delle reti, profilazione obiettivi, bypassare antivirus, scaricare programmi aggiuntivi, manipolare i processi,etc. Le informazioni vengono crittografate con un algoritmo AES prima di essere inviate al server.
L’attacco è stato perpetrato impiegando tecniche e strumenti, come il RoyalRoad, ricondotti a gruppi di hacker cinesi come Tick, Tonto Team e TA428 che hanno come bersaglio target di alto valore.
Diversamente dagli episodi precedenti i ricercatori hanno individuato alcune modifiche nel codice che potrebbero indicare un nuovo gruppo oppure uno sviluppo supplementare.
Immagini: Cybereason