悪名高いChiselマルウェアがウクライナを標的に
英国の国家サイバーセキュリティセンター(NCSC)と英語圏ファイブアイズ諜報同盟内の同盟諸国は、ウクライナの軍事目標に対する一連のサイバー攻撃はサンドワーム高度永続的脅威(APT)グループによるものであると公式に認定した。この確認は、8 月の攻撃で使用された独自の Incious Chisel マルウェア ファミリを最初に暴露したウクライナ保安局 (SBU) による以前の主張を裏付けるものです。
ロシアの軍事諜報機関である GRU に関連する APT グループである Sandworm は、Inious Chisel マルウェアを利用して、ウクライナ軍が所有する Android モバイル デバイスを標的にしました。 10 個の異なるコンポーネントを特定したウクライナ人によって特定されたこのマルウェアの核心は、侵害されたデバイスを密かに監視するように設計されています。
NCSCのオペレーションディレクター、ポール・チチェスター氏は、「ウクライナの軍事資産を標的としたこの悪意のあるキャンペーンの暴露は、ウクライナにおけるロシアの不法紛争がいかにサイバー空間にまで拡大しているかを浮き彫りにしている。我々の最新の報告書は、この新しいマルウェアの機能についての専門家の洞察を提供し、我々の協力的な取り組みを例示している」とコメントした。 「ウクライナの強固な防衛を支援する同盟国と協力する。英国は引き続きロシアのサイバー攻撃を暴露することに尽力しており、今後も継続するだろう」と述べた。
SBUはウクライナ軍と協力して、ロシアによる機密情報へのアクセスの試みを阻止することに成功したと報告した。この情報には、軍隊の配置、移動、技術的備えに関するデータが含まれると考えられていました。
SBUのサイバーセキュリティ責任者のイリア・ヴィティウク氏は、「本格的な紛争が始まって以来、我々は軍の指揮システムなどを侵害することを目的とした、ロシア諜報機関によって画策されたサイバー攻撃から防御してきた」と述べた。私たちの軍隊のサイバー防御を表しています。」
悪名高いチゼルのキャンペーンの詳細
SSUのサイバー捜査官は、GRUが戦場でウクライナ軍から鹵獲したタブレットを入手したことを発見した。これらのタブレットは、事前設定されたアクセスを悪用するために使用され、「長くて細心の注意を払った」準備段階で他の Android デバイスへの悪意のあるファイルの配布を可能にしました。
Inious Chisel のさまざまなコンポーネントは連携して、Tor ネットワーク経由で感染した Android デバイスへの永続的なアクセスを維持しました。これは、変更された Dropbear バイナリに接続する隠しサービスを使用して Tor を構成して実行し、セキュア ソケット シェル (SSH) 接続を提供することで実現されました。マルウェアは定期的に被害データを収集して抽出し、特定のファイル拡張子をスキャンします。さらに、ローカル ネットワークを監視し、アクティブなホストを特定し、ポートを開いてさまざまなデータ ポイントを収集しました。
NCSC は、マルウェアのさまざまなコンポーネントは低から中程度の洗練度を示し、堅牢な防御回避機能や隠蔽機能が欠けていると指摘しました。これは、多くの Android デバイスにホストベースの検出システムがないことが原因である可能性があります。
しかし、NCSC の報告書では、Inious Chisel 内の 2 つの注目すべき技術が強調されています。まず、永続性を確保するために、1 つのコンポーネントが正規の実行可能ファイル netd を置き換えました。次に、Dropbear を含むコンポーネントの認証機能への変更が特に顕著でした。 NCSC の評価によると、これらのテクニックは両方とも、かなりのレベルの C++ の知識と、Linux の認証およびブート メカニズムの理解を必要とします。