Το κακόφημο κακόβουλο λογισμικό Chisel στοχεύει την Ουκρανία

Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) και οι σύμμαχοί του στη συμμαχία πληροφοριών Anglophone Five Eyes απέδωσαν επίσημα μια σειρά επιθέσεων στον κυβερνοχώρο εναντίον ουκρανικών στρατιωτικών στόχων στην ομάδα προηγμένης επίμονης απειλής Sandworm (APT). Αυτή η επιβεβαίωση υποστηρίζει παλαιότερους ισχυρισμούς της Υπηρεσίας Ασφαλείας της Ουκρανίας (SBU), η οποία αρχικά αποκάλυψε τη μοναδική οικογένεια κακόβουλου λογισμικού Infamous Chisel που χρησιμοποιήθηκε στις επιθέσεις τον Αύγουστο.

Η Sandworm, μια ομάδα APT που συνδέεται με τη στρατιωτική υπηρεσία πληροφοριών της Ρωσίας, την GRU, χρησιμοποίησε το κακόβουλο λογισμικό Infamous Chisel για να στοχεύσει κινητές συσκευές Android που ανήκουν στις ένοπλες δυνάμεις της Ουκρανίας. Στον πυρήνα του, αυτό το κακόβουλο λογισμικό, όπως προσδιορίστηκε από τους Ουκρανούς που έχουν εντοπίσει 10 διαφορετικά στοιχεία, σχεδιάστηκε για να παρακολουθεί κρυφά παραβιασμένες συσκευές.

Ο διευθυντής επιχειρήσεων του NCSC, Paul Chichester, σχολίασε: "Η αποκάλυψη αυτής της κακόβουλης εκστρατείας που στοχεύει ουκρανικά στρατιωτικά μέσα υπογραμμίζει τον τρόπο με τον οποίο η παράνομη σύγκρουση της Ρωσίας στην Ουκρανία επεκτείνεται στον κυβερνοχώρο. Η τελευταία μας έκθεση παρέχει πληροφορίες από ειδικούς για τη λειτουργικότητα αυτού του νέου κακόβουλου λογισμικού και αποτελεί παράδειγμα των προσπαθειών μας συνεργασίας με συμμάχους να υποστηρίζουν την ισχυρή άμυνα της Ουκρανίας. Το Ηνωμένο Βασίλειο παραμένει προσηλωμένο στην αποκάλυψη της ρωσικής κυβερνοεπιθετικότητας και θα επιμείνει να το κάνει».

Η SBU, σε συνεργασία με τις Ένοπλες Δυνάμεις της Ουκρανίας, ανέφεραν ότι απέτρεψαν με επιτυχία τις ρωσικές προσπάθειες πρόσβασης σε ευαίσθητες πληροφορίες. Αυτές οι πληροφορίες πιστεύεται ότι περιλάμβαναν δεδομένα για τις αναπτύξεις στρατευμάτων, τις κινήσεις και τις τεχνικές διατάξεις.

Σύμφωνα με τον Illia Vitiuk, επικεφαλής της SBU για την ασφάλεια στον κυβερνοχώρο, "Από την αρχή της σύγκρουσης πλήρους κλίμακας, αμυνόμαστε από επιθέσεις στον κυβερνοχώρο που ενορχηστρώθηκαν από ρωσικές υπηρεσίες πληροφοριών, με στόχο να θέσουν σε κίνδυνο το στρατιωτικό μας σύστημα διοίκησης και πολλά άλλα. Η επιχείρηση που πραγματοποιήσαμε αντιπροσωπεύει την άμυνα στον κυβερνοχώρο των δυνάμεών μας».

Αναλυτικά η Καμπάνια της Διαβόητης Σμίλης

Οι ερευνητές του SSU στον κυβερνοχώρο ανακάλυψαν ότι η GRU έλαβε ταμπλέτες που είχαν συλληφθεί από τις ουκρανικές δυνάμεις στο πεδίο της μάχης. Αυτά τα tablet χρησιμοποιήθηκαν στη συνέχεια για την εκμετάλλευση της προρυθμισμένης πρόσβασης, επιτρέποντας την κακόβουλη διανομή αρχείων σε άλλες συσκευές Android κατά τη διάρκεια μιας «μακράς και σχολαστικής» φάσης προετοιμασίας.

Τα διάφορα εξαρτήματα του Infamous Chisel συνεργάστηκαν για να διατηρήσουν σταθερή πρόσβαση σε μολυσμένες συσκευές Android μέσω του δικτύου Tor. Αυτό επιτεύχθηκε με τη διαμόρφωση και την εκτέλεση του Tor με μια κρυφή υπηρεσία που συνδέθηκε με ένα τροποποιημένο δυαδικό αρχείο Dropbear, παρέχοντας μια σύνδεση ασφαλούς κελύφους υποδοχής (SSH). Περιοδικά, το κακόβουλο λογισμικό συγκέντρωνε και διείσδυε δεδομένα θυμάτων, σαρώνοντας για συγκεκριμένες επεκτάσεις αρχείων. Επιπλέον, παρακολουθούσε τοπικά δίκτυα, εντοπίζοντας ενεργούς κεντρικούς υπολογιστές και ανοιχτές θύρες για τη συλλογή διαφόρων σημείων δεδομένων.

Το NCSC σημείωσε ότι τα διάφορα στοιχεία του κακόβουλου λογισμικού παρουσίαζαν χαμηλή έως μέτρια πολυπλοκότητα, χωρίς ισχυρά χαρακτηριστικά αμυντικής αποφυγής ή απόκρυψης. Αυτό μπορεί να οφείλεται στο ότι πολλές συσκευές Android δεν διαθέτουν συστήματα ανίχνευσης που βασίζονται σε κεντρικό υπολογιστή.

Ωστόσο, η έκθεση του NCSC τόνισε δύο αξιοσημείωτες τεχνικές στο Infamous Chisel. Πρώτον, ένα στοιχείο αντικατέστησε ένα νόμιμο εκτελέσιμο αρχείο, netd, για να διασφαλίσει την επιμονή. Δεύτερον, οι τροποποιήσεις στη λειτουργία ελέγχου ταυτότητας σε στοιχεία που περιέχουν Dropbear ήταν ιδιαίτερα αξιοσημείωτες. Και οι δύο αυτές τεχνικές απαιτούν ένα ουσιαστικό επίπεδο γνώσεων C++ και κατανόηση του ελέγχου ταυτότητας και των μηχανισμών εκκίνησης Linux, σύμφωνα με την αξιολόγηση του NCSC.