Skupina hackerov sa v prospech Číny tentokrát zamerala na ruský obranný sektor. Pri analýze kampane výskumníci objavili modifikovanú verziu známeho trojana a aj nový typ zadných vrátok, ktorým dali názov PortDoor.
Výskumný tím zo spoločnosti Cybereason identifikoval neznámu APT skupinu, ktorá cieli na ruského národného dizajnéra ponoriek. I keď zatiaľ neprebehla jednoznačná atribúcia, výskumníci sa domnievajú, že ide o hackerov, ktorí operujú v prospech Číny.
„Zhromaždené dôkazy […] nesú všetky znaky aktéra pôsobiaceho v mene čínskych štátom sponzorovaných záujmov.“
Cieľom kybernetickej operácie má byť petrohradská spoločnosť Rubin Design Bureau, pôsobiaca v oblasti námorného inžinierstva. Navrhuje jadrové ponorky pre Vojenské námorníctvo Ruskej federácie.
Hlavnú úlohu v rámci kampane má modifikovaný trojan RoyalRoad, známy aj ako 8.t Dropper. Cybereason zdôrazňuje, že ide o nástroj, ktorý je vo svojej pôvodnej podobe súčasťou arzenálu niekoľkých APT skupín s prepojením na Čínsku vládu.
Výskumníci pripomínajú najmä záškodnícke entity Tick, Tonto Team alebo TA428, ktoré v rámci spearphishingovej kampane cielili na vysoko postavené obete. V hľadáčiku posledných dvoch skupín už v minulosti boli ruské výskumné či obranné organizácie.
Modus operandi
RoyalRoad je trojan typu dropper, ktorý generuje škodlivé dokumenty vo formáte RTF. Tie následne zneužívajú zraniteľnosti v programe Equation Editor od Microsoftu, známe už od roku 2017, respektíve 2018.
Záškodníci v rámci spearphishingovej kampane adresovali email v ruskom jazyku generálnemu riaditeľovi centra spomínanej spoločnosti pod národným koncernom Gidropribor. Infikovaný RTF dokument v prílohe obsahoval pohľad na autonómne podvodné vozidlo.
Nedávno objavená verzia RoyalRoad obsahuje zadné dvierka, ktoré výskumníci pomenovali PortDoor. Umožňujú útočníkom rozmiestňovať dodatočné komponenty, ale aj obísť statickú detekciu, eskalovať privilégiá či napríklad exfiltrovať zašifrované dáta.
Klára Kaničárová