Liūdnai pagarsėjusi Chisel kenkėjiška programa skirta Ukrainai

JK Nacionalinis kibernetinio saugumo centras (NCSC) ir jo sąjungininkai žvalgybos aljanse „Anglophone Five Eyes“ oficialiai priskyrė daugybę kibernetinių atakų prieš Ukrainos karinius taikinius „Sandworm Advanced Persistent Regulation“ (APT) grupei. Šis patvirtinimas patvirtina ankstesnius Ukrainos saugumo tarnybos (SBU) teiginius, kurie iš pradžių atskleidė unikalią „Liūdnai pagarsėjusio Chisel“ kenkėjiškų programų šeimą, naudotą per rugpjūčio mėn. atakas.

„Sandworm“, APT grupė, susijusi su Rusijos karinės žvalgybos agentūra GRU, panaudojo „Liūdnai pagarsėjusią Chisel“ kenkėjišką programą, kad taikytųsi į Ukrainos ginkluotosioms pajėgoms priklausančius „Android“ mobiliuosius įrenginius. Iš esmės ši kenkėjiška programa, kurią nustatė ukrainiečiai, tiksliai nustatę 10 skirtingų komponentų, buvo sukurta slaptai stebėti pažeistus įrenginius.

NCSC operacijų direktorius Paulas Chichesteris komentavo: „Šios kenkėjiškos kampanijos, nukreiptos į Ukrainos karinius išteklius, atskleidimas parodo, kaip Rusijos neteisėtas konfliktas Ukrainoje plinta į kibernetinę erdvę. Mūsų naujausioje ataskaitoje pateikiamos ekspertų įžvalgos apie šios naujos kenkėjiškos programos funkcionalumą ir parodomos mūsų bendradarbiavimo pastangos. su sąjungininkais, remiančiais tvirtą Ukrainos gynybą. JK tebėra įsipareigojusi atskleisti Rusijos kibernetinę agresiją ir toliau tai darys.

SBU kartu su Ukrainos ginkluotosiomis pajėgomis pranešė, kad sėkmingai sutrukdė Rusijos bandymams gauti slaptą informaciją. Manoma, kad ši informacija apima duomenis apie kariuomenės dislokavimą, judėjimą ir technines nuostatas.

Pasak SBU kibernetinio saugumo vadovo Illia Vitiuk, „Nuo pat viso konflikto pradžios mes gynėsi nuo Rusijos žvalgybos tarnybų surengtų kibernetinių atakų, kuriomis siekiama pakenkti mūsų karinės vadovybės sistemai ir dar daugiau. Mūsų vykdyta operacija. reiškia mūsų pajėgų kibernetinę gynybą“.

Išsamiau apie liūdnai pagarsėjusią Chisel's kampaniją

SSU kibernetiniai tyrėjai išsiaiškino, kad GRU mūšio lauke gavo planšetinių kompiuterių, paimtų iš Ukrainos pajėgų. Tada šie planšetiniai kompiuteriai buvo naudojami iš anksto sukonfigūruotai prieigai išnaudoti, leidžiant piktavališkai platinti failus į kitus „Android“ įrenginius „ilgo ir kruopštaus“ paruošimo etapo metu.

Įvairūs „Liūdnai pagarsėjusio Chisel“ komponentai bendradarbiavo, kad išlaikytų nuolatinę prieigą prie užkrėstų „Android“ įrenginių per „Tor“ tinklą. Tai buvo pasiekta sukonfigūravus ir vykdant „Tor“ su paslėpta paslauga, kuri buvo prijungta prie modifikuoto „Dropbear“ dvejetainio failo, užtikrinančio saugaus lizdo apvalkalo (SSH) ryšį. Periodiškai kenkėjiška programa rinkdavo ir išfiltruodavo aukos duomenis, ieškodama konkrečių failų plėtinių. Be to, ji stebėjo vietinius tinklus, identifikuodama aktyvius pagrindinius kompiuterius ir atvirus prievadus, kad surinktų įvairius duomenų taškus.

NCSC pažymėjo, kad įvairūs kenkėjiškos programos komponentai buvo nuo mažo iki vidutinio sudėtingumo, jiems trūko patikimų apsaugos nuo vengimo ar slėpimo funkcijų. Taip gali būti dėl to, kad daugelyje „Android“ įrenginių trūksta prieglobos aptikimo sistemų.

Tačiau NCSC ataskaitoje išryškėjo du verti dėmesio Liūdnai pagarsėjusio kalto metodai. Pirma, vienas komponentas pakeitė teisėtą vykdomąjį failą netd, kad būtų užtikrintas patvarumas. Antra, ypač pastebimi komponentų, kuriuose yra „Dropbear“, autentifikavimo funkcijos pakeitimai. Remiantis NCSC vertinimu, abiem šiais būdais reikia turėti nemažą C++ žinių lygį ir suprasti Linux autentifikavimo ir įkrovos mechanizmus.