Des chercheurs en cybersécurité de Cybereason Nocturnus Team ont trouvé un puissant backdoor dans un malware déposé au cœur d’un centre de recherche russe chargé de la conception des sous-marins nucléaires du pays. Les chercheurs soupçonnent les groupes de hackers chinois liés à l’État, d’être à la manœuvre.

On ne la voit pas mais elle rugit dans les réseaux : la cyberguerre est silencieuse et l'une de ses armes les plus redoutées des États est celle du cyberespionnage. Connaître les plans secrets des États, c'est s'assurer d'une certaine supériorité en cas de conflit. Dans ce domaine, les indices pointent souvent vers des groupes de pirates affiliésaffiliés au Kremlin ou à l'État chinois. Et justement, il semble bien que ce dernier ait cherché à en savoir plus sur les sous-marinssous-marins nucléaires russes.

Des chercheurs de la Cybereason Nocturnus Team ont en effet identifié un malware doté d'une porteporte d'entrée (backdoor) ayant ciblé précisément une grosse entreprise russe chargée de la conception des sous-marins nucléaires pour la marine russe depuis 1991. L'attaque par hameçonnage a précisément visé le directeur du bureau d'étude et d'ingénierie du centre de conception de sous-marins Rubin, situé à Saint-Pétersbourg. Les attaquants souhaitaient certainement atteindre par ce truchement, le consortium Gidropribor dont fait partie Rubin. C'est ce centre qui conçoit les torpilles et missilesmissiles des sous-marins.

RoyalRoad : un malware militarisé

La charge viralecharge virale a été déposée par RoyalRoad, une cyber-arme connue qui exploite des fichiers RTF vérolés et permet à l'attaquant de se faufiler via les anciennes versions de Word. Il se trouve que RoyalRoad a été customisé de façon militaire selon les chercheurs, et ce, afin de déposer un backdoor inédit baptisé PortDoor. Avec lui, les hackers peuvent ajouter des charges utiles supplémentaires, élever leurs privilèges et exfiltrer des données.

Si le type d'attaque par hameçonnage reste basique, l'utilisation de RoyalRoad et sa personnalisation a permis aux spécialistes de concentrer leurs soupçons vers les groupes APT chinois généralement sponsorisés par l'État chinois. Comme toujours dans ce type d'attaque, la société de sécurité n'a toutefois pas pu attribuer avec certitude cette manœuvre de cyberespionnage.