Beryktet meiselmalware retter seg mot Ukraina

Storbritannias nasjonale cybersikkerhetssenter (NCSC) og dets allierte innenfor Anglophone Five Eyes etterretningsalliansen har offisielt tilskrevet en serie cyberangrep mot ukrainske militære mål til gruppen Sandworm Advanced persistent threat (APT). Denne bekreftelsen støtter tidligere påstander fra Ukrainas sikkerhetstjeneste (SBU), som opprinnelig avslørte den unike Infamous Chisel malware-familien som ble brukt i angrepene i august.

Sandworm, en APT-gruppe knyttet til Russlands militære etterretningsbyrå, GRU, brukte den beryktede Chisel-malwaren for å målrette Android-mobilenheter som eies av Ukrainas væpnede styrker. I kjernen var denne skadevaren, identifisert av ukrainerne som har identifisert 10 forskjellige komponenter, designet for å overvåke kompromitterte enheter i hemmelighet.

NCSCs operasjonsdirektør, Paul Chichester, kommenterte: "Avsløringen av denne ondsinnede kampanjen rettet mot ukrainske militære eiendeler fremhever hvordan Russlands ulovlige konflikt i Ukraina strekker seg inn i cyberspace. Vår siste rapport gir ekspertinnsikt i funksjonaliteten til denne nye skadevare og eksemplifiserer vår samarbeidssatsing. med allierte til støtte for Ukrainas robuste forsvar. Storbritannia er fortsatt forpliktet til å avsløre russisk cyber-aggresjon og vil fortsette å gjøre det."

SBU, i samarbeid med de væpnede styrker i Ukraina, rapporterte om vellykket forpurring av russiske forsøk på å få tilgang til sensitiv informasjon. Denne informasjonen ble antatt å omfatte data om troppedistribusjoner, bevegelser og tekniske forsyninger.

I følge Illia Vitiuk, SBU-sjef for cybersikkerhet, "Siden starten av fullskalakonflikten har vi forsvart oss mot cyberangrep orkestrert av russiske etterretningstjenester, med sikte på å kompromittere vårt militære kommandosystem og mer. Operasjonen vi har gjennomført representerer vårt cyberforsvar av våre styrker."

Mer detaljert informasjon om den beryktede meiselkampanjen

SSUs cyberetterforskere oppdaget at GRU skaffet nettbrett fanget fra ukrainske styrker på slagmarken. Disse nettbrettene ble deretter brukt til å utnytte forhåndskonfigurert tilgang, noe som tillot ondsinnet distribusjon av filer til andre Android-enheter under en "lang og grundig" forberedelsesfase.

Infamous Chisels ulike komponenter samarbeidet for å opprettholde vedvarende tilgang til infiserte Android-enheter via Tor-nettverket. Dette ble oppnådd ved å konfigurere og kjøre Tor med en skjult tjeneste som koblet til en modifisert Dropbear-binær, og ga en sikker socket-shell-forbindelse (SSH). Med jevne mellomrom vil skadelig programvare samle og eksfiltrere offerdata, og søke etter spesifikke filutvidelser. I tillegg overvåket den lokale nettverk, identifiserte aktive verter og åpne porter for å samle ulike datapunkter.

NCSC bemerket at skadevarens ulike komponenter viste lav til middels sofistikering, og manglet robuste forsvarsunndragelse eller skjulte funksjoner. Dette kan skyldes at mange Android-enheter mangler vertsbaserte deteksjonssystemer.

Imidlertid fremhevet NCSCs rapport to bemerkelsesverdige teknikker innen Infamous Chisel. For det første erstattet en komponent en legitim kjørbar, netd, for å sikre utholdenhet. For det andre var modifikasjoner av autentiseringsfunksjonen i komponenter som inneholder Dropbear spesielt bemerkelsesverdige. Begge disse teknikkene krever et betydelig nivå av C++-kunnskap og en forståelse av Linux-autentisering og oppstartsmekanismer, i henhold til NCSCs vurdering.