Печально известная вредоносная программа Chisel нацелена на Украину

Национальный центр кибербезопасности Великобритании (NCSC) и его союзники в рамках англоязычного разведывательного альянса Five Eyes официально приписали серию кибератак против украинских военных объектов группе Advanced Persistent Threat (APT) Sandworm. Это подтверждение подтверждает более ранние заявления Службы безопасности Украины (СБУ), которая первоначально выявила уникальное семейство вредоносных программ Infamous Chisel, использованное в атаках в августе.

Sandworm, группа APT, связанная с российской военной разведкой ГРУ, использовала вредоносное ПО Infamous Chisel для атак на мобильные устройства Android, принадлежащие вооруженным силам Украины. По сути, это вредоносное ПО, как определили украинцы, выявившие 10 различных компонентов, было разработано для тайного мониторинга взломанных устройств.

Операционный директор NCSC Пол Чичестер прокомментировал: «Обнаружение этой вредоносной кампании, нацеленной на украинские военные активы, подчеркивает, как незаконный конфликт России в Украине распространяется на киберпространство. Наш последний отчет предоставляет экспертное представление о функциональности этого нового вредоносного ПО и иллюстрирует наши совместные усилия. с союзниками в поддержку надежной обороны Украины. Великобритания по-прежнему привержена разоблачению российской киберагрессии и будет продолжать это делать».

СБУ совместно с Вооруженными силами Украины сообщила об успешном пресечении попыток России получить доступ к конфиденциальной информации. Считалось, что эта информация включает в себя данные о дислокации войск, передвижениях и техническом обеспечении.

По словам начальника управления кибербезопасности СБУ Ильи Витюка: «С самого начала полномасштабного конфликта мы защищаемся от кибератак, организованных российскими спецслужбами, направленных на компрометацию нашей системы военного управления и не только. Операцию мы провели представляет нашу киберзащиту наших сил».

Подробнее о кампании Infamous Chisel

Кибер-расследователи СБУ обнаружили, что ГРУ получило планшеты, захваченные у украинских сил на поле боя. Эти планшеты затем использовались для использования предварительно настроенного доступа, что позволяло злонамеренно распространять файлы на другие устройства Android во время «длительного и тщательного» этапа подготовки.

Различные компоненты Infamous Chisel совместно поддерживали постоянный доступ к зараженным устройствам Android через сеть Tor. Это было достигнуто путем настройки и запуска Tor со скрытым сервисом, который подключался к модифицированному двоичному файлу Dropbear, обеспечивая соединение через безопасную оболочку сокета (SSH). Периодически вредоносное ПО собирало и похищало данные жертвы, сканируя файлы с определенными расширениями. Кроме того, он отслеживал локальные сети, выявляя активные хосты и открытые порты для сбора различных данных.

NCSC отметил, что различные компоненты вредоносного ПО имеют низкую или среднюю сложность и не имеют надежных функций защиты или сокрытия. Возможно, это связано с тем, что на многих устройствах Android отсутствуют системы обнаружения на базе хоста.

Тем не менее, в отчете NCSC выделены два заслуживающих внимания метода Infamous Chisel. Во-первых, один компонент заменил законный исполняемый файл netd, чтобы обеспечить постоянство. Во-вторых, особенно заметными были изменения в функции аутентификации в компонентах, содержащих Dropbear. Согласно оценке NCSC, оба этих метода требуют значительного уровня знаний C++ и понимания механизмов аутентификации и загрузки Linux.