Il famigerato malware Chisel prende di mira l’Ucraina

Il National Cyber Security Center (NCSC) del Regno Unito e i suoi alleati all'interno dell'alleanza di intelligence anglofona Five Eyes hanno ufficialmente attribuito una serie di attacchi informatici contro obiettivi militari ucraini al gruppo Sandworm Advanced Persistent Threat (APT). Questa conferma supporta le precedenti affermazioni del Servizio di sicurezza ucraino (SBU), che inizialmente aveva denunciato l'esclusiva famiglia di malware Infamous Chisel utilizzata negli attacchi di agosto.

Sandworm, un gruppo APT collegato all'agenzia di intelligence militare russa, il GRU, ha utilizzato il malware Infamous Chisel per prendere di mira i dispositivi mobili Android di proprietà delle forze armate ucraine. Fondamentalmente, questo malware, identificato dagli ucraini che hanno individuato 10 componenti distinti, è stato progettato per monitorare clandestinamente i dispositivi compromessi.

Il direttore delle operazioni dell'NCSC, Paul Chichester, ha commentato: "La rivelazione di questa campagna dannosa contro le risorse militari ucraine evidenzia come il conflitto illecito della Russia in Ucraina si sta estendendo al cyberspazio. Il nostro ultimo rapporto fornisce approfondimenti esperti sulla funzionalità di questo nuovo malware ed esemplifica i nostri sforzi di collaborazione. con gli alleati a sostegno della solida difesa dell'Ucraina. Il Regno Unito resta impegnato a denunciare l'aggressione informatica russa e persisterà nel farlo."

La SBU, in collaborazione con le forze armate ucraine, ha riferito di aver contrastato con successo i tentativi russi di accedere a informazioni sensibili. Si credeva che queste informazioni comprendessero dati sullo schieramento, sui movimenti e sulle disposizioni tecniche delle truppe.

Secondo Illia Vitiuk, responsabile della sicurezza informatica della SBU, "Fin dall'inizio del conflitto su vasta scala, ci siamo difesi dagli attacchi informatici orchestrati dai servizi segreti russi, volti a compromettere il nostro sistema di comando militare e altro ancora. L'operazione che abbiamo condotto rappresenta la nostra difesa informatica delle nostre forze."

La famigerata campagna di Chisel in modo più dettagliato

Gli investigatori informatici della SSU hanno scoperto che il GRU ha ottenuto tablet catturati dalle forze ucraine sul campo di battaglia. Questi tablet venivano poi utilizzati per sfruttare accessi preconfigurati, consentendo la distribuzione malevola di file su altri dispositivi Android durante una fase di preparazione "lunga e meticolosa".

I vari componenti di Infamous Chisel hanno collaborato per mantenere l'accesso persistente ai dispositivi Android infetti tramite la rete Tor. Ciò è stato ottenuto configurando ed eseguendo Tor con un servizio nascosto che si connetteva a un binario Dropbear modificato, fornendo una connessione SSH (secure socket shell). Periodicamente, il malware raccoglieva ed esfiltrava i dati delle vittime, scansionando estensioni di file specifiche. Inoltre, ha monitorato le reti locali, identificando gli host attivi e le porte aperte per raccogliere vari punti dati.

L'NCSC ha osservato che i vari componenti del malware presentavano un livello di sofisticazione da basso a medio, privo di robuste funzionalità di evasione o occultamento della difesa. Ciò potrebbe essere dovuto al fatto che molti dispositivi Android non dispongono di sistemi di rilevamento basati su host.

Tuttavia, il rapporto dell'NCSC ha evidenziato due tecniche degne di nota all'interno di Infamous Chisel. Innanzitutto, un componente ha sostituito un eseguibile legittimo, netd, per garantire la persistenza. In secondo luogo, particolarmente degne di nota sono state le modifiche alla funzione di autenticazione nei componenti contenenti Dropbear. Entrambe queste tecniche richiedono un livello sostanziale di conoscenza del C++ e una comprensione dell'autenticazione di Linux e dei meccanismi di avvio, secondo la valutazione dell'NCSC.