El infame malware Chisel apunta a Ucrania

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus aliados dentro de la alianza de inteligencia anglófona Five Eyes han atribuido oficialmente una serie de ataques cibernéticos contra objetivos militares ucranianos al grupo de amenaza persistente avanzada (APT) Sandworm. Esta confirmación respalda afirmaciones anteriores del Servicio de Seguridad de Ucrania (SBU), que inicialmente expuso la exclusiva familia de malware Infamous Chisel utilizada en los ataques de agosto.

Sandworm, un grupo APT vinculado a la agencia de inteligencia militar de Rusia, el GRU, utilizó el malware Infamous Chisel para atacar dispositivos móviles Android propiedad de las fuerzas armadas de Ucrania. En esencia, este malware, identificado por los ucranianos que identificaron 10 componentes distintos, fue diseñado para monitorear clandestinamente los dispositivos comprometidos.

El director de operaciones del NCSC, Paul Chichester, comentó: "La revelación de esta campaña maliciosa dirigida a activos militares ucranianos resalta cómo el conflicto ilícito de Rusia en Ucrania se está extendiendo al ciberespacio. Nuestro último informe proporciona información experta sobre la funcionalidad de este nuevo malware y ejemplifica nuestros esfuerzos de colaboración "Con aliados en apoyo de la sólida defensa de Ucrania. El Reino Unido sigue comprometido a exponer la ciberagresión rusa y persistirá en hacerlo".

El SBU, junto con las Fuerzas Armadas de Ucrania, informó haber frustrado con éxito los intentos rusos de acceder a información confidencial. Se creía que esta información abarcaba datos sobre despliegues de tropas, movimientos y provisiones técnicas.

Según Illia Vitiuk, jefe de seguridad cibernética del SBU, "Desde el inicio del conflicto a gran escala, nos hemos estado defendiendo contra ataques cibernéticos orquestados por los servicios de inteligencia rusos, destinados a comprometer nuestro sistema de mando militar y más. La operación que hemos llevado a cabo representa nuestra defensa cibernética de nuestras fuerzas."

La infame campaña de Chisel con más detalle

Los investigadores cibernéticos del SSU descubrieron que el GRU obtuvo tabletas capturadas a las fuerzas ucranianas en el campo de batalla. Estas tabletas se utilizaron luego para explotar el acceso preconfigurado, permitiendo la distribución maliciosa de archivos a otros dispositivos Android durante una fase de preparación "larga y meticulosa".

Los diversos componentes de Infamous Chisel colaboraron para mantener el acceso persistente a los dispositivos Android infectados a través de la red Tor. Esto se logró configurando y ejecutando Tor con un servicio oculto que se conectaba a un binario Dropbear modificado, proporcionando una conexión de socket segura (SSH). Periódicamente, el malware recopilaba y exfiltraba datos de las víctimas, buscando extensiones de archivos específicas. Además, monitoreó las redes locales, identificando hosts activos y puertos abiertos para recopilar varios puntos de datos.

El NCSC señaló que los diversos componentes del malware mostraban una sofisticación baja a media y carecían de funciones sólidas de ocultación o evasión de defensa. Esto podría deberse a que muchos dispositivos Android carecen de sistemas de detección basados en host.

Sin embargo, el informe del NCSC destacó dos técnicas notables dentro de Infamous Chisel. En primer lugar, un componente reemplazó a un ejecutable legítimo, netd, para garantizar la persistencia. En segundo lugar, fueron especialmente notables las modificaciones en la función de autenticación en los componentes que contienen Dropbear. Ambas técnicas requieren un nivel sustancial de conocimiento de C++ y una comprensión de los mecanismos de autenticación y arranque de Linux, según la evaluación del NCSC.