Berüchtigte Chisel-Malware zielt auf die Ukraine ab

Das britische National Cyber Security Centre (NCSC) und seine Verbündeten innerhalb der anglophonen Geheimdienstallianz Five Eyes haben eine Reihe von Cyberangriffen gegen ukrainische Militärziele offiziell der Gruppe Sandworm Advanced Persistent Threat (APT) zugeschrieben. Diese Bestätigung stützt frühere Behauptungen des Sicherheitsdienstes der Ukraine (SBU), der zunächst die einzigartige Infamous-Chisel-Malware-Familie aufdeckte, die bei den Angriffen im August verwendet wurde.

Sandworm, eine mit dem russischen Militärgeheimdienst GRU verbundene APT-Gruppe, nutzte die Schadsoftware „Infamous Chisel“, um Android-Mobilgeräte der ukrainischen Streitkräfte anzugreifen. Im Kern war diese Malware, wie die Ukrainer identifizierten, die zehn verschiedene Komponenten identifizierten, darauf ausgelegt, kompromittierte Geräte heimlich zu überwachen.

Paul Chichester, Operations Director des NCSC, kommentierte: „Die Enthüllung dieser böswilligen Kampagne gegen ukrainische Militäranlagen zeigt, wie sich Russlands illegaler Konflikt in der Ukraine in den Cyberspace ausdehnt. Unser neuester Bericht bietet Experteneinblicke in die Funktionalität dieser neuen Malware und veranschaulicht unsere gemeinsamen Bemühungen.“ mit Verbündeten zur Unterstützung der robusten Verteidigung der Ukraine. Das Vereinigte Königreich ist weiterhin entschlossen, die russische Cyber-Aggression aufzudecken, und wird dies auch weiterhin tun.“

Der SBU berichtete, dass er in Zusammenarbeit mit den Streitkräften der Ukraine russische Versuche, an vertrauliche Informationen zu gelangen, erfolgreich vereitelt habe. Es wurde angenommen, dass diese Informationen Daten über Truppenaufstellungen, -bewegungen und technische Vorräte umfassten.

Illia Vitiuk, SBU-Leiterin für Cybersicherheit, erklärt: „Seit Beginn des umfassenden Konflikts verteidigen wir uns gegen Cyberangriffe, die von russischen Geheimdiensten inszeniert werden und darauf abzielen, unser militärisches Kommandosystem und mehr zu kompromittieren. Die Operation, die wir durchgeführt haben.“ stellt unsere Cyberverteidigung unserer Streitkräfte dar.“

Die Kampagne des berüchtigten Chisel im Detail

Die Cyber-Ermittler der SSU stellten fest, dass die GRU von ukrainischen Streitkräften auf dem Schlachtfeld erbeutete Tablets erhalten hatte. Diese Tablets wurden dann verwendet, um vorkonfigurierte Zugriffe auszunutzen und so in einer „langwierigen und sorgfältigen“ Vorbereitungsphase die böswillige Verteilung von Dateien auf andere Android-Geräte zu ermöglichen.

Die verschiedenen Komponenten von Infamous Chisel arbeiteten zusammen, um den dauerhaften Zugriff auf infizierte Android-Geräte über das Tor-Netzwerk aufrechtzuerhalten. Dies wurde erreicht, indem Tor mit einem versteckten Dienst konfiguriert und ausgeführt wurde, der eine Verbindung zu einer modifizierten Dropbear-Binärdatei herstellte und eine Secure Socket Shell (SSH)-Verbindung bereitstellte. In regelmäßigen Abständen sammelte und exfiltrierte die Malware Opferdaten und suchte nach bestimmten Dateierweiterungen. Darüber hinaus überwachte es lokale Netzwerke, identifizierte aktive Hosts und offene Ports, um verschiedene Datenpunkte zu sammeln.

Das NCSC stellte fest, dass die verschiedenen Komponenten der Malware eine geringe bis mittlere Komplexität aufwiesen und keine robusten Verteidigungs-Umgehungs- oder Verschleierungsfunktionen besaßen. Dies könnte daran liegen, dass es bei vielen Android-Geräten keine hostbasierten Erkennungssysteme gibt.

Der NCSC-Bericht hob jedoch zwei bemerkenswerte Techniken innerhalb von Infamous Chisel hervor. Erstens ersetzte eine Komponente eine legitime ausführbare Datei, netd, um die Persistenz sicherzustellen. Zweitens fielen insbesondere Änderungen an der Authentifizierungsfunktion in Komponenten auf, die Dropbear enthalten. Nach Einschätzung des NCSC erfordern beide Techniken ein erhebliches Maß an C++-Kenntnissen und ein Verständnis der Linux-Authentifizierungs- und Boot-Mechanismen.