Niesławne złośliwe oprogramowanie Chisel atakuje Ukrainę

Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) i jego sojusznicy w ramach anglojęzycznego sojuszu wywiadowczego Five Eyes oficjalnie przypisali serię cyberataków na ukraińskie cele wojskowe grupie Sandworm Advanced Continuous Threat (APT). Potwierdzenie to potwierdza wcześniejsze twierdzenia Służby Bezpieczeństwa Ukrainy (SBU), która początkowo ujawniła unikalną rodzinę złośliwego oprogramowania Infamous Chisel wykorzystaną w sierpniowych atakach.

Sandworm, grupa APT powiązana z rosyjską agencją wywiadu wojskowego GRU, wykorzystała szkodliwe oprogramowanie Infamous Chisel do atakowania urządzeń mobilnych z Androidem należących do ukraińskich sił zbrojnych. W istocie to szkodliwe oprogramowanie, zidentyfikowane przez Ukraińców, którzy wskazali 10 różnych komponentów, miało na celu potajemne monitorowanie zainfekowanych urządzeń.

Dyrektor operacyjny NCSC, Paul Chichester, skomentował: „Ujawnienie tej złośliwej kampanii wymierzonej w ukraińskie zasoby wojskowe pokazuje, w jaki sposób nielegalny konflikt Rosji na Ukrainie rozszerza się na cyberprzestrzeń. Nasz najnowszy raport zawiera eksperckie spostrzeżenia na temat funkcjonalności tego nowego szkodliwego oprogramowania i stanowi przykład naszych wspólnych wysiłków z sojusznikami wspierającymi solidną obronę Ukrainy. Wielka Brytania nadal angażuje się w ujawnianie rosyjskiej cyberagresji i nadal będzie to robić.”

SBU we współpracy z Siłami Zbrojnymi Ukrainy poinformowała, że skutecznie udaremniła rosyjskie próby uzyskania dostępu do poufnych informacji. Uważano, że informacje te obejmują dane dotyczące rozmieszczenia żołnierzy, ruchów i rezerw technicznych.

Według Illii Vitiuk, szefowej ds. cyberbezpieczeństwa SBU, „Od początku konfliktu na pełną skalę bronimy się przed cyberatakami zorganizowanymi przez rosyjskie służby wywiadowcze, których celem jest naruszenie naszego wojskowego systemu dowodzenia i nie tylko. Przeprowadzona przez nas operacja reprezentuje naszą cyberobronę naszych sił.”

Bardziej szczegółowo kampania Infamous Chisel

Cyber śledczy SSU odkryli, że GRU uzyskało tablice przejęte od sił ukraińskich na polu bitwy. Tablety te zostały następnie wykorzystane do wykorzystania wstępnie skonfigurowanego dostępu, umożliwiając złośliwą dystrybucję plików na inne urządzenia z systemem Android podczas „długiej i skrupulatnej” fazy przygotowawczej.

Różne komponenty Infamous Chisel współpracowały, aby utrzymać stały dostęp do zainfekowanych urządzeń z Androidem za pośrednictwem sieci Tor. Osiągnięto to poprzez skonfigurowanie i uruchomienie Tora z ukrytą usługą, która łączyła się ze zmodyfikowanym plikiem binarnym Dropbear, zapewniając bezpieczne połączenie powłoki gniazda (SSH). Okresowo złośliwe oprogramowanie gromadziło i wydobywało dane ofiar, skanując w poszukiwaniu określonych rozszerzeń plików. Dodatkowo monitorował sieci lokalne, identyfikując aktywne hosty i otwarte porty w celu gromadzenia różnych punktów danych.

NCSC zauważyło, że różne komponenty szkodliwego oprogramowania charakteryzowały się niskim lub średnim poziomem zaawansowania i brakowało im solidnych funkcji unikania obrony lub ukrywania się. Może to być spowodowane tym, że wiele urządzeń z Androidem nie ma systemów wykrywania opartych na hoście.

Jednak raport NCSC podkreślił dwie godne uwagi techniki stosowane w Infamous Chisel. Po pierwsze, jeden komponent zastąpił legalny plik wykonywalny netd, aby zapewnić trwałość. Po drugie, szczególnie zauważalne były modyfikacje funkcji uwierzytelniania w komponentach zawierających Dropbear. Zgodnie z oceną NCSC obie te techniki wymagają znacznego poziomu wiedzy na temat języka C++ oraz zrozumienia mechanizmów uwierzytelniania i uruchamiania systemu Linux.