Wspierane przez państwo rosyjskie złośliwe oprogramowanie dla Androida „Infamous Chisel” atakuje ukraińskie wojsko

33

Agencje ds. cyberbezpieczeństwa i wywiadu z Australii, Kanady, Nowej Zelandii, Wielkiej Brytanii i USA ujawniły w czwartek szczegóły dotyczące mobilnego szkodliwego oprogramowania atakującego urządzenia z Androidem używane przez ukraińskie wojsko.

Szkodliwe oprogramowanie, nazwane Infamous Chisel i przypisywane sponsorowanemu przez państwo rosyjskiemu aktorowi o nazwie Sandworm, ma możliwości „umożliwiania nieautoryzowanego dostępu do zainfekowanych urządzeń, skanowania plików, monitorowania ruchu i okresowej kradzieży poufnych informacji”.

źródło: thehackernews

Służba Bezpieczeństwa Ukrainy (SBU) odkryła na początku sierpnia niektóre aspekty szkodliwego oprogramowania, co uwypukliło nieudane próby przeniknięcia przez przeciwnika ukraińskich sieci wojskowych i zebrania cennych informacji wywiadowczych.

Mówi się, że siły rosyjskie przejęły tablety używane przez Ukrainę na polu bitwy i wykorzystały je jako przyczółek do zdalnego rozprzestrzeniania szkodliwego oprogramowania na inne urządzenia za pomocą narzędzia wiersza poleceń Android Debug Bridge (ADB).

Sandworm, znany również pod nazwami FROZENBARENTS, Iron Viking, Seashell Blizzard i Voodoo Bear, odnosi się do Głównego Centrum Technologii Specjalnych (GTsST) Rosyjskiej Głównej Dyrekcji Wywiadu (GRU).

Aktywna od co najmniej 2014 r. ekipa hakerska jest najbardziej znana z szeregu destrukcyjnych i destrukcyjnych kampanii cybernetycznych wykorzystujących złośliwe oprogramowanie, takie jak Industroyer, BlackEnergy i NotPetya.

W lipcu 2023 r. Mandiant należący do Google stwierdził, że złośliwe operacje cybernetyczne GRU są zgodne ze schematem oferującym korzyści taktyczne i strategiczne, umożliwiając podmiotom zagrażającym szybkie dostosowanie się do „szybkiego i wysoce konkurencyjnego środowiska operacyjnego”, a jednocześnie maksymalizują prędkość, skalę i intensywność bez wykrycia.

Infamous Chisel jest opisywany jako zbiór wielu komponentów zaprojektowanych z myślą o umożliwieniu zdalnego dostępu i wydobywania informacji z telefonów z systemem Android.

Oprócz skanowania urządzeń w poszukiwaniu informacji i plików odpowiadających predefiniowanemu zestawowi rozszerzeń, szkodliwe oprogramowanie zawiera również funkcję okresowego skanowania sieci lokalnej i oferowania dostępu SSH.

„Infamous Chisel zapewnia również zdalny dostęp poprzez konfigurację i uruchomienie TOR z ukrytą usługą, która przekazuje dane do zmodyfikowanego pliku binarnego Dropbear zapewniającego połączenie SSH” – oznajmił sojusz wywiadowczy Five Eyes (FVEY).

Krótki opis każdego z modułów jest następujący:

Więcej od autora
1 z 169
  • netd — Zbiera i wydobywa informacje z zaatakowanego urządzenia w określonych odstępach czasu, w tym z katalogów specyficznych dla aplikacji i przeglądarek internetowych
  • td – Świadczenie usług TOR
  • blob — Skonfiguruj usługi Tor i sprawdź łączność sieciową (wykonywane przez netd)
  • tcpdump — legalne narzędzie tcpdump bez modyfikacji
  • zabójca – Zakończ proces sieciowy
  • db – Zawiera kilka narzędzi do kopiowania plików i zapewnienia bezpiecznego dostępu powłoki do urządzenia za pośrednictwem ukrytej usługi TOR przy użyciu zmodyfikowanej wersji Dropbear
  • NDBR — plik binarny z wieloma wywołaniami, podobny do db, dostępny w dwóch wersjach, aby móc działać na architekturach procesorów Arm (ndbr_armv7l) i Intel (ndbr_i686)

Trwałość na urządzeniu osiąga się poprzez zastąpienie legalnego demona netd, który jest odpowiedzialny za konfigurację sieci w systemie Android, wersją nieuczciwą, umożliwiającą mu wykonywanie poleceń jako użytkownik root.

Jeśli chodzi o częstotliwość eksfiltracji, kompilacja danych plików i urządzeń odbywa się codziennie, natomiast wrażliwe informacje wojskowe są przesyłane co 10 minut. Sieć lokalna jest skanowana raz na dwa dni.

„Komponenty Infamous Chisel charakteryzują się niskim lub średnim poziomem zaawansowania i wydaje się, że zostały opracowane z niewielkim uwzględnieniem unikania zabezpieczeń lub ukrywania złośliwych działań” – stwierdziły agencje.

„Przeszukiwanie określonych plików i ścieżek katalogów związanych z aplikacjami wojskowymi oraz eksfiltracja tych danych wzmacnia zamiar uzyskania dostępu do tych sieci. Chociaż komponentom brakuje podstawowych technik zaciemniania lub ukrywania aktywności, aktor mógł uznać to za niepotrzebne , ponieważ wiele urządzeń z systemem Android nie ma systemu wykrywania opartego na hoście.”

Do zdarzenia doszło, gdy Krajowe Centrum Koordynacji Cyberbezpieczeństwa Ukrainy (NCSCC) rzuciło światło na próby phishingu prowadzone przez inną wspieraną przez Kreml grupę hakerską, znaną jako Gamaredon (znaną również jako Aqua Blizzard, Shuckworm lub UAC-0010), mającą na celu wysysanie tajnych informacji.

Agencja rządowa stwierdziła, że ​​ugrupowanie zagrażające, które od 2013 r. wielokrotnie obiera za cel Ukrainę, nasila ataki na podmioty wojskowe i rządowe w celu zebrania wrażliwych danych związanych z jego operacjami kontrofensywnymi przeciwko wojskom rosyjskim.

„Gamaredon wykorzystuje skradzione legalne dokumenty skompromitowanych organizacji, aby infekować ofiary” – stwierdziła NCSCCC. „Gamaredon wykorzystuje skradzione legalne dokumenty skompromitowanych organizacji, aby infekować ofiary”.

Grupa ma doświadczenie w wykorzystywaniu Telegramu i Telegraphu jako narzędzi do rozpoznawania martwych punktów w celu odzyskiwania informacji związanych z jej infrastrukturą dowodzenia i kontroli (C2), wykorzystując jednocześnie „dobrze wszechstronny” arsenał narzędzi szkodliwego oprogramowania do realizacji swoich celów strategicznych.

Obejmuje to GammaDrop, GammaLoad, GammaSteel, LakeFlash i Pterodo, z których ostatnie to wielofunkcyjne narzędzie przystosowane do szpiegostwa i eksfiltracji danych.

„Jego wszechstronność we wdrażaniu różnych modułów czyni go potężnym zagrożeniem, zdolnym do precyzyjnej infiltracji i naruszania docelowych systemów” – stwierdziło NCSCCC.

„Chociaż Gamaredon może nie być najbardziej zaawansowaną technicznie grupą zagrożeń atakującą Ukrainę, ich taktyka wykazuje wyrachowaną ewolucję. Rosnąca częstotliwość ataków sugeruje zwiększenie ich zdolności operacyjnych i zasobów”.

Źródło: thehackernews
Komentarz