Berygtet mejselmalware retter sig mod Ukraine

Det Forenede Kongeriges nationale cybersikkerhedscenter (NCSC) og dets allierede inden for den engelsksprogede Five Eyes efterretningsalliance har officielt tilskrevet en række cyberangreb mod ukrainske militære mål til gruppen Sandworm Advanced persistent threat (APT). Denne bekræftelse understøtter tidligere påstande fra Ukraines sikkerhedstjeneste (SBU), som oprindeligt afslørede den unikke Infamous Chisel malware-familie, der blev brugt i angrebene i august.

Sandworm, en APT-gruppe knyttet til Ruslands militære efterretningstjeneste, GRU, brugte den Infamous Chisel malware til at målrette mod Android-mobilenheder ejet af Ukraines væbnede styrker. I sin kerne var denne malware, som identificeret af ukrainerne, der har udpeget 10 forskellige komponenter, designet til hemmeligt at overvåge kompromitterede enheder.

NCSCs driftsdirektør, Paul Chichester, kommenterede: "Afsløringen af denne ondsindede kampagne rettet mod ukrainske militære aktiver fremhæver, hvordan Ruslands ulovlige konflikt i Ukraine strækker sig ind i cyberspace. Vores seneste rapport giver ekspertindsigt i funktionaliteten af denne nye malware og eksemplificerer vores samarbejde. med allierede til støtte for Ukraines robuste forsvar. Storbritannien er fortsat forpligtet til at afsløre russisk cyberaggression og vil fortsætte med at gøre det."

SBU rapporterede i samarbejde med Ukraines væbnede styrker, at de havde forpurret russiske forsøg på at få adgang til følsomme oplysninger. Disse oplysninger menes at omfatte data om troppeindsættelser, bevægelser og tekniske foranstaltninger.

Ifølge Illia Vitiuk, SBU-chef for cybersikkerhed, "Siden starten af den fulde konflikt har vi forsvaret os mod cyberangreb orkestreret af russiske efterretningstjenester, med det formål at kompromittere vores militære kommandosystem med mere. Operationen har vi gennemført repræsenterer vores cyberforsvar af vores styrker."

Berygtet mejsels kampagne mere detaljeret

SSU's cyberefterforskere opdagede, at GRU fik tablets fanget fra ukrainske styrker på slagmarken. Disse tablets blev derefter brugt til at udnytte forudkonfigureret adgang, hvilket tillod ondsindet distribution af filer til andre Android-enheder under en "langvarig og omhyggelig" forberedelsesfase.

Infamous Chisels forskellige komponenter samarbejdede for at opretholde vedvarende adgang til inficerede Android-enheder via Tor-netværket. Dette blev opnået ved at konfigurere og udføre Tor med en skjult tjeneste, der var forbundet til en modificeret Dropbear-binær, hvilket gav en sikker socketshell-forbindelse (SSH). Med jævne mellemrum ville malwaren indsamle og eksfiltrere offerdata og scanne efter specifikke filtypenavne. Derudover overvågede det lokale netværk, identificerede aktive værter og åbne porte til at indsamle forskellige datapunkter.

NCSC bemærkede, at malwarens forskellige komponenter udviste lav til medium sofistikering og manglede robuste forsvarunddragelses- eller skjulefunktioner. Dette kan skyldes, at mange Android-enheder mangler værtsbaserede detektionssystemer.

Imidlertid fremhævede NCSC's rapport to bemærkelsesværdige teknikker inden for Infamous Chisel. For det første erstattede en komponent en legitim eksekverbar, netd, for at sikre persistens. For det andet var ændringer af godkendelsesfunktionen i komponenter indeholdende Dropbear særligt bemærkelsesværdige. Begge disse teknikker kræver et betydeligt niveau af C++ viden og en forståelse af Linux-autentificering og boot-mekanismer, ifølge NCSC's vurdering.