A hírhedt Chisel Malware Ukrajnát célozza

Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és szövetségesei az Anglophone Five Eyes hírszerzési szövetségen belül hivatalosan is a Sandworm Advanced Persistent Federation (APT) csoportnak tulajdonították az ukrán katonai célpontok elleni kibertámadások sorozatát. Ez a megerősítés alátámasztja az Ukrajnai Biztonsági Szolgálat (SBU) korábbi állításait, amelyek kezdetben felfedték az augusztusi támadásokban használt egyedi Infamous Chisel malware családot.

Az orosz katonai hírszerző ügynökséghez, a GRU-hoz köthető APT-csoport, a Sandworm az Infamous Chisel malware-t használta az ukrán fegyveres erők tulajdonában lévő Android mobileszközök megcélzására. Lényegében ez a rosszindulatú program, amelyet az ukránok azonosítottak, akik 10 különálló összetevőt azonosítottak, a feltört eszközök titkos megfigyelésére tervezték.

Az NCSC műveleti igazgatója, Paul Chichester így nyilatkozott: "Az ukrán katonai eszközöket célzó rosszindulatú kampány felfedése rávilágít arra, hogy Oroszország tiltott ukrajnai konfliktusa hogyan terjed ki a kibertérbe. Legújabb jelentésünk szakértői betekintést nyújt ennek az új rosszindulatú programnak a működésébe, és jól példázza együttműködési erőfeszítéseinket. szövetségeseivel Ukrajna robusztus védelmének támogatására. Az Egyesült Királyság továbbra is elkötelezett az orosz kiberagresszió leleplezése mellett, és kitart amellett, hogy ezt tegye."

Az SBU az ukrán fegyveres erőkkel együttműködve arról számolt be, hogy sikeresen meghiúsította az érzékeny információkhoz való hozzáférésre irányuló orosz kísérleteket. Úgy gondolták, hogy ezek az információk a csapatok telepítésére, mozgására és műszaki előírásaira vonatkoznak.

Illia Vitiuk, az SBU kiberbiztonsági vezetője szerint "A teljes körű konfliktus kezdete óta védekezünk az orosz hírszerző szolgálatok által szervezett kibertámadások ellen, amelyek célja katonai parancsnoki rendszerünk veszélyeztetése és sok más. Az általunk végrehajtott művelet az erőink kibervédelmét jelenti."

Véső hírhedt kampánya részletesebben

Az SSU kibernyomozói felfedezték, hogy a GRU ukrán erőktől elfogott táblagépeket szerzett a csatatéren. Ezeket a táblagépeket ezután az előre konfigurált hozzáférés kihasználására használták, lehetővé téve a fájlok rosszindulatú terjesztését más Android-eszközökön egy „hosszú és aprólékos” előkészítési szakasz során.

A hírhedt Chisel különféle összetevői együttműködtek, hogy a Tor-hálózaton keresztül folyamatosan hozzáférjenek a fertőzött Android-eszközökhöz. Ezt a Tor egy rejtett szolgáltatással való konfigurálásával és végrehajtásával sikerült elérni, amely egy módosított Dropbear binárishoz csatlakozott, és biztonságos socket shell (SSH) kapcsolatot biztosít. A rosszindulatú programok időnként összegyűjtik és kiszűrik az áldozatok adatait, bizonyos fájlkiterjesztéseket keresve. Ezenkívül figyelte a helyi hálózatokat, azonosította az aktív gazdagépeket és a nyitott portokat, hogy különféle adatpontokat gyűjtsön.

Az NCSC megjegyezte, hogy a rosszindulatú program különféle összetevői alacsony vagy közepes kifinomultságot mutattak, és hiányoztak a robusztus védelmi kijátszási vagy elrejtési funkciók. Ennek az lehet az oka, hogy sok Android-eszköz nem rendelkezik gazdagép-alapú észlelőrendszerekkel.

Az NCSC jelentése azonban kiemelt két figyelemre méltó technikát az Infamous Chisel-en belül. Először is, az egyik összetevő lecserélt egy legitim végrehajtható fájlt, a netd-t, hogy biztosítsa a tartósságot. Másodszor, a Dropbeart tartalmazó komponensek hitelesítési funkciójának módosításai különösen figyelemre méltóak voltak. Az NCSC értékelése szerint mindkét technika jelentős szintű C++ ismereteket, valamint a Linux hitelesítési és rendszerindítási mechanizmusok megértését igényli.