Beruchte Chisel-malware richt zich op Oekraïne

Het Britse National Cyber Security Centre (NCSC) en zijn bondgenoten binnen de Engelstalige inlichtingenalliantie Five Eyes hebben een reeks cyberaanvallen op Oekraïense militaire doelen officieel toegeschreven aan de Sandworm Advanced Persistent Threat (APT)-groep. Deze bevestiging ondersteunt eerdere beweringen van de Veiligheidsdienst van Oekraïne (SBU), die aanvankelijk de unieke Infamous Chisel-malwarefamilie blootlegde die bij de aanvallen in augustus werd gebruikt.

Sandworm, een APT-groep verbonden aan de Russische militaire inlichtingendienst GRU, gebruikte de Infamous Chisel-malware om zich te richten op mobiele Android-apparaten die eigendom zijn van de Oekraïense strijdkrachten. In de kern is deze malware, zoals geïdentificeerd door de Oekraïners die tien verschillende componenten hebben geïdentificeerd, ontworpen om clandestien gecompromitteerde apparaten te monitoren.

Paul Chichester, operationeel directeur van NCSC, merkte op: "De onthulling van deze kwaadaardige campagne gericht op Oekraïense militaire middelen laat zien hoe het Russische illegale conflict in Oekraïne zich uitbreidt naar cyberspace. Ons nieuwste rapport biedt deskundige inzichten in de functionaliteit van deze nieuwe malware en is een voorbeeld van onze gezamenlijke inspanningen. met bondgenoten ter ondersteuning van de robuuste verdediging van Oekraïne. Groot-Brittannië blijft zich inzetten voor het blootleggen van Russische cyberagressie en zal daarin volharden.'

De SBU rapporteerde, in samenwerking met de strijdkrachten van Oekraïne, met succes Russische pogingen om toegang te krijgen tot gevoelige informatie te dwarsbomen. Aangenomen werd dat deze informatie gegevens over troepeninzet, bewegingen en technische voorzieningen omvatte.

Volgens Illia Vitiuk, hoofd cyberveiligheid van de SBU: “Sinds het begin van het grootschalige conflict hebben we ons verdedigd tegen cyberaanvallen georkestreerd door Russische inlichtingendiensten, gericht op het compromitteren van ons militaire commandosysteem en meer. vertegenwoordigt onze cyberverdediging van onze strijdkrachten."

Beruchte Chisel-campagne in meer detail

De cyberonderzoekers van de SSU ontdekten dat de GRU tablets had verkregen die op het slagveld waren buitgemaakt op Oekraïense troepen. Deze tablets werden vervolgens gebruikt om vooraf geconfigureerde toegang te misbruiken, waardoor de kwaadaardige distributie van bestanden naar andere Android-apparaten mogelijk werd tijdens een "lange en nauwgezette" voorbereidingsfase.

De verschillende componenten van Infamous Chisel werkten samen om via het Tor-netwerk blijvende toegang tot geïnfecteerde Android-apparaten te behouden. Dit werd bereikt door Tor te configureren en uit te voeren met een verborgen service die verbinding maakte met een aangepast Dropbear binair bestand, waardoor een veilige socket shell (SSH) verbinding ontstond. Van tijd tot tijd verzamelde en exfiltreerde de malware slachtoffergegevens, waarbij werd gescand op specifieke bestandsextensies. Bovendien bewaakte het lokale netwerken, waarbij actieve hosts en open poorten werden geïdentificeerd om verschillende datapunten te verzamelen.

Het NCSC merkte op dat de verschillende componenten van de malware weinig tot gemiddeld geavanceerd waren en geen robuuste verdedigingsontwijkings- of verbergingsfuncties hadden. Dit kan komen doordat veel Android-apparaten geen hostgebaseerde detectiesystemen hebben.

Het rapport van de NCSC benadrukte echter twee opmerkelijke technieken binnen Infamous Chisel. Ten eerste verving één component een legitiem uitvoerbaar bestand, netd, om persistentie te garanderen. Ten tweede waren vooral de wijzigingen aan de authenticatiefunctie in componenten die Dropbear bevatten opmerkelijk. Beide technieken vereisen een substantieel niveau van C++-kennis en inzicht in Linux-authenticatie en opstartmechanismen, zo oordeelt het NCSC.