O infame malware Chisel tem como alvo a Ucrânia

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e seus aliados da aliança de inteligência Anglophone Five Eyes atribuíram oficialmente uma série de ataques cibernéticos contra alvos militares ucranianos ao grupo Sandworm de ameaça persistente avançada (APT). Esta confirmação apoia afirmações anteriores do Serviço de Segurança da Ucrânia (SBU), que inicialmente expôs a família única de malware Infamous Chisel usada nos ataques de agosto.

Sandworm, um grupo APT ligado à agência de inteligência militar da Rússia, a GRU, utilizou o malware Infamous Chisel para atingir dispositivos móveis Android de propriedade das forças armadas da Ucrânia. Na sua essência, este malware, identificado pelos ucranianos que identificaram 10 componentes distintos, foi concebido para monitorizar clandestinamente dispositivos comprometidos.

O diretor de operações do NCSC, Paul Chichester, comentou: "A revelação desta campanha maliciosa visando ativos militares ucranianos destaca como o conflito ilícito da Rússia na Ucrânia está se estendendo ao ciberespaço. Nosso último relatório fornece insights de especialistas sobre a funcionalidade deste novo malware e exemplifica nossos esforços colaborativos com aliados em apoio à defesa robusta da Ucrânia. O Reino Unido continua empenhado em expor a agressão cibernética russa e persistirá em fazê-lo."

A SBU, em conjunto com as Forças Armadas da Ucrânia, relatou ter frustrado com sucesso as tentativas russas de acesso a informações confidenciais. Acreditava-se que essas informações incluíam dados sobre o envio de tropas, movimentos e provisões técnicas.

De acordo com Illia Vitiuk, chefe de segurança cibernética da SBU, “Desde o início do conflito em grande escala, temos nos defendido contra ataques cibernéticos orquestrados pelos serviços de inteligência russos, com o objetivo de comprometer nosso sistema de comando militar e muito mais. representa a defesa cibernética de nossas forças."

Campanha do Infame Chisel em mais detalhes

Os investigadores cibernéticos do SSU descobriram que o GRU obteve tablets capturados das forças ucranianas no campo de batalha. Esses tablets foram então usados para explorar o acesso pré-configurado, permitindo a distribuição maliciosa de arquivos para outros dispositivos Android durante uma fase de preparação “longa e meticulosa”.

Os vários componentes do Infamous Chisel colaboraram para manter o acesso persistente aos dispositivos Android infectados através da rede Tor. Isso foi conseguido configurando e executando o Tor com um serviço oculto conectado a um binário Dropbear modificado, fornecendo uma conexão SSH (Secure Socket Shell). Periodicamente, o malware coletava e exfiltrava dados das vítimas, procurando extensões de arquivo específicas. Além disso, monitorou redes locais, identificando hosts ativos e portas abertas para coletar diversos pontos de dados.

O NCSC observou que os vários componentes do malware exibiam sofisticação baixa a média, carecendo de recursos robustos de evasão ou ocultação de defesa. Isso pode ocorrer porque muitos dispositivos Android não possuem sistemas de detecção baseados em host.

No entanto, o relatório do NCSC destacou duas técnicas dignas de nota no Infamous Chisel. Em primeiro lugar, um componente substituiu um executável legítimo, netd, para garantir a persistência. Em segundo lugar, as modificações na função de autenticação em componentes que contêm Dropbear foram particularmente notáveis. Ambas as técnicas exigem um nível substancial de conhecimento de C++ e uma compreensão dos mecanismos de autenticação e inicialização do Linux, de acordo com a avaliação do NCSC.