Gli hacker continuano a sfruttare una funzionalità del programma AutoCAD ampiamente utilizzato da Autodesk nel tentativo di sottrarre preziosi progetti computerizzati per ponti, edifici industriali e altri progetti, hanno detto i ricercatori martedì. Gli attacchi arrivano in e-mail con la tecnica del phishing e in alcuni casi in pacchetti postali che contengono documenti e piani di progettazione.
Nella stessa directory sono inclusi file camuffati formattati in AutoLISP, un linguaggio specifico di AutoCAD del linguaggio di programmazione LISP. Quando le vittime aprono il documento di progettazione, possono inavvertitamente causare l’esecuzione del file AutoLISP.
Mentre le versioni moderne di AutoCAD visualizzano per impostazione predefinita un avvertimento relativo all’esecuzione di uno script potenzialmente pericoloso, gli avvisi possono essere ignorati o eliminati del tutto. Per rendere i file meno evidenti, gli autori degli attacchi hanno impostato le loro proprietà in modo che siano nascosti in Windows e il loro contenuto sia crittografato.
Un malware colpisce Autocad
Gli attacchi non sono nuovi. Sono simili rispetto a quelli del 2005, prima che AutoCAD fornisse lo stesso set difensivo contro il malware mirato. Gli attacchi sono diventati più forti nel 2009. I ricercatori di ForcePoint, hanno riportato testuali parole: “Il CAD ha cambiato la nostra vita moderna e, come sfortunato effetto collaterale, anche lo spionaggio industriale è cambiato. Schemi di progettazione, piani di progetto e documenti di vitale importanza vengono archiviati e condivisi tra le parti in modo digitale.
Il valore di questi documenti, specialmente in settori nuovi e prosperi come le energie rinnovabili, – continua il comunicato della security house – non è mai stato così alto. Tutto ciò lo rende attraente per i gruppi di cybercriminali più esperti a fare i conti: invece di inviare spam a milioni di e-mail e di aspettare che la gente si innamori di loro, si può ottenere molto più denaro vendendo i progetti al miglior offerente“.
Forcepoint ha detto di aver monitorato oltre 200 insiemi di dati e circa 40 malware, tra cui uno che si proponeva di includere un design per il ponte Zhuhai-Macau situato ad Hong Kong. Gli attacchi includono un programma AutoLISP precompilato e crittografato intitolato acad.fas. Si copia prima in tre posizioni in un computer infetto per aumentare le probabilità che venga aperto se si diffonde su nuovi computer. I computer infetti riportano anche ai server controllati dagli aggressori, che utilizzano una serie di comandi offuscati per scaricare i documenti.
Tutti i sottodomini del server di controllo vengono caricati sullo stesso indirizzo IP, che sembra eseguire un’installazione in lingua cinese di Microsoft Internet Information Server 6.0. I ricercatori di Forcepoint hanno scoperto che lo stesso IP era utilizzato nelle precedenti campagne AutoCAD. Hanno anche trovato un IP vicino che aveva la stessa configurazione di IIS.