Le tristement célèbre logiciel malveillant Chisel cible l’Ukraine

Le National Cyber Security Centre (NCSC) britannique et ses alliés au sein de l'alliance de renseignement anglophone Five Eyes ont officiellement attribué une série de cyberattaques contre des cibles militaires ukrainiennes au groupe Sandworm Advanced Persistant Threat (APT). Cette confirmation confirme les affirmations antérieures du Service de sécurité ukrainien (SBU), qui avait initialement exposé la famille unique de logiciels malveillants Infamous Chisel utilisée lors des attaques d'août.

Sandworm, un groupe APT lié à l'agence de renseignement militaire russe, le GRU, a utilisé le malware Infamous Chisel pour cibler les appareils mobiles Android appartenant aux forces armées ukrainiennes. À la base, ce malware, identifié par les Ukrainiens qui ont identifié 10 composants distincts, a été conçu pour surveiller clandestinement les appareils compromis.

Le directeur des opérations du NCSC, Paul Chichester, a commenté : « La révélation de cette campagne malveillante ciblant les ressources militaires ukrainiennes met en évidence la façon dont le conflit illicite de la Russie en Ukraine s'étend au cyberespace. Notre dernier rapport fournit des informations d'experts sur la fonctionnalité de ce nouveau malware et illustre nos efforts de collaboration. avec ses alliés pour soutenir la défense robuste de l’Ukraine. Le Royaume-Uni reste déterminé à dénoncer la cyber-agression russe et persistera à le faire. »

Le SBU, en collaboration avec les forces armées ukrainiennes, a déclaré avoir réussi à contrecarrer les tentatives russes d’accéder à des informations sensibles. On pensait que ces informations comprenaient des données sur les déploiements de troupes, les mouvements et les provisions techniques.

Selon Illia Vitiuk, responsable de la cybersécurité du SBU, « Depuis le début du conflit à grande échelle, nous nous défendons contre les cyberattaques orchestrées par les services de renseignement russes, visant à compromettre notre système de commandement militaire et bien plus encore. L'opération que nous avons menée représente notre cyberdéfense de nos forces.

La campagne d'Infamous Chisel plus en détail

Les cyber-enquêteurs du SSU ont découvert que le GRU avait obtenu des tablettes capturées auprès des forces ukrainiennes sur le champ de bataille. Ces tablettes étaient ensuite utilisées pour exploiter des accès préconfigurés, permettant la diffusion malveillante de fichiers vers d'autres appareils Android lors d'une phase de préparation « longue et minutieuse ».

Les différents composants d'Infamous Chisel ont collaboré pour maintenir un accès persistant aux appareils Android infectés via le réseau Tor. Ceci a été réalisé en configurant et en exécutant Tor avec un service caché connecté à un binaire Dropbear modifié, fournissant une connexion SSH (Secure Socket Shell). Périodiquement, le logiciel malveillant collectait et exfiltrait les données des victimes, en recherchant des extensions de fichiers spécifiques. De plus, il surveillait les réseaux locaux, identifiant les hôtes actifs et les ports ouverts pour collecter divers points de données.

Le NCSC a noté que les différents composants du logiciel malveillant présentaient une sophistication faible à moyenne, dépourvus de fonctionnalités robustes d'évasion ou de dissimulation des défenses. Cela peut être dû au fait que de nombreux appareils Android ne disposent pas de systèmes de détection basés sur l'hôte.

Cependant, le rapport du NCSC a mis en évidence deux techniques remarquables au sein d'Infamous Chisel. Premièrement, un composant a remplacé un exécutable légitime, netd, pour assurer la persistance. Deuxièmement, les modifications apportées à la fonction d'authentification dans les composants contenant Dropbear ont été particulièrement notables. Ces deux techniques nécessitent un niveau substantiel de connaissances en C++ et une compréhension des mécanismes d'authentification et de démarrage Linux, selon l'évaluation du NCSC.