Un malware chinois cible le designer des sous-marins nucléaires russes

Un hacker supposé travailler au nom des intérêts de l’État chinois a récemment été observé en train de cibler un designer travaillant sur la conception de sous-marins nucléaires des forces navales russes.

Une attaque par hameçonnage

L’attaque a ciblé un directeur général travaillant au Bureau central d’étude et d’ingénierie maritime Rubin, un centre de conception de sous-marins situé à Saint-Pétersbourg. La société représente plus de 85% des sous-marins de la marine soviétique et russe depuis  1901. Selon l’équipe de renseignement sur les menaces Nocturnus de Cybereason, l’auteur de l’attaque a exploité le tristement célèbre RTF (Rich Text Format) Royal Road pour livrer une porte dérobée Windows précédemment non documentée appelée PortDoor

Portdoor a de multiples fonctionnalités. La capacité de faire de la reconnaissance et le profilage de la cible, la livraison de charges utiles supplémentaires, l’élévation des privilèges, et la manipulation de processus sont de celles-ci. Il en est de même pour la détection statique, l’évasion antivirus, le cryptage XOR d’un octet, l’exfiltration de données cryptées AES et plus encore.

Exploiter les multiples failles de l’éditeur d’équations de Microsoft

Au fil des années, Royal Road s’est imposé en tant qu’outil de choix parmi un éventail d’acteurs de menaces chinois tels que Goblin Panda, Rancor Group, TA428, Tick et Tonto Team. Connues pour exploiter les multiples failles de l’éditeur d’équations de Microsoft (CVE-2017-11882, CVE-2018-0798 et CVE-2018-0802) dès la fin de 2018, les attaques prennent la forme de campagnes ciblées de spear-phishing utilisant des documents RTF pour fournir des logiciels malveillants personnalisés à des cibles de grande valeur peu méfiants.

Cette attaque nouvellement découverte n’est pas différente, le pirate utilisant un email de spear-phishing adressé à l’entreprise de conception de sous-marins comme vecteur d’infection initial. Alors que les versions précédentes de Royal Road ont abandonné les charges utiles codées nommées de  8.t, le courrier électronique est intégré à un document contenant des malwares. Une fois le document ouvert, il fournit un fichier codé appelé « eo » pour récupérer le PortDoor impliquant une nouvelle variante de l’arme utilisée.

Une méthode attribuée aux hackers parrainés par l’État chinois

PortDoor exécute la gamme de portes dérobées avec un large éventail de fonctionnalités. Cela lui permet de profiler la machine victime, d’élever les privilèges, de télécharger et d’exécuter des charges utiles arbitraires reçues d’un serveur contrôlé par un attaquant et d’exporter le retourne au serveur.

Selon les chercheurs, cette attaque porte toutes les caractéristiques d’un pirate agissant au parrainé par l’État chinois. Le vecteur d’infection, le style d’ingénierie sociale, l’utilisation de RoyalRoad contre des cibles similaires vont dans ce sens. D’autres similitudes avec l’échantillon de porte dérobée nouvellement découvert et d’autres logiciels malveillants APT chinois connus viennent entériner cette hypothèse.