Ökänd mejselmalware riktar sig till Ukraina

Storbritanniens nationella cybersäkerhetscenter (NCSC) och dess allierade inom Anglophone Five Eyes underrättelsealliansen har officiellt tillskrivit gruppen Sandworm Advanced persistent hot (APT) en serie cyberattacker mot ukrainska militära mål. Denna bekräftelse stöder tidigare påståenden från Ukrainas säkerhetstjänst (SBU), som till en början avslöjade den unika familjen Infamous Chisel skadlig programvara som användes vid attackerna i augusti.

Sandworm, en APT-grupp kopplad till Rysslands militära underrättelsetjänst, GRU, använde den Infamous Chisel malware för att rikta in sig på mobila Android-enheter som ägs av Ukrainas väpnade styrkor. I sin kärna var denna skadliga programvara, som identifierats av ukrainarna som har identifierat 10 distinkta komponenter, utformad för att hemlig övervaka komprometterade enheter.

NCSC:s operativa direktör, Paul Chichester, kommenterade, "Avslöjandet av denna skadliga kampanj riktad mot ukrainska militära tillgångar belyser hur Rysslands olagliga konflikt i Ukraina sträcker sig in i cyberrymden. Vår senaste rapport ger expertinsikter om funktionaliteten hos denna nya skadliga programvara och exemplifierar våra samarbetsinsatser. med allierade till stöd för Ukrainas robusta försvar. Storbritannien är fortfarande engagerat i att avslöja rysk cyberaggression och kommer att fortsätta att göra det."

SBU, i samarbete med Ukrainas väpnade styrkor, rapporterade framgångsrikt motverka ryska försök att komma åt känslig information. Denna information antogs omfatta data om truppplaceringar, rörelser och tekniska bestämmelser.

Enligt Illia Vitiuk, SBU-chef för cybersäkerhet, "Sedan starten av den fullskaliga konflikten har vi försvarat oss mot cyberattacker orkestrerade av ryska underrättelsetjänster, som syftar till att äventyra vårt militära ledningssystem med mera. Operationen vi har genomfört representerar vårt cyberförsvar av våra styrkor."

Den ökända mejselkampanjen i mer detalj

SSU:s cyberutredare upptäckte att GRU erhållit surfplattor som fångats från ukrainska styrkor på slagfältet. Dessa surfplattor användes sedan för att utnyttja förkonfigurerad åtkomst, vilket möjliggjorde skadlig distribution av filer till andra Android-enheter under en "lång och noggrann" förberedelsefas.

Infamous Chisels olika komponenter samarbetade för att upprätthålla beständig åtkomst till infekterade Android-enheter via Tor-nätverket. Detta uppnåddes genom att konfigurera och köra Tor med en dold tjänst som ansluts till en modifierad Dropbear-binär, vilket ger en säker socket-shell-anslutning (SSH). Med jämna mellanrum skulle skadlig programvara samla in och exfiltrera offerdata och söka efter specifika filtillägg. Dessutom övervakade den lokala nätverk, identifierade aktiva värdar och öppna portar för att samla in olika datapunkter.

NCSC noterade att skadlig programvaras olika komponenter uppvisade låg till medelhög sofistikering, saknade robusta försvarsflykt eller döljande funktioner. Detta kan bero på att många Android-enheter saknar värdbaserade detektionssystem.

Men NCSC:s rapport lyfte fram två anmärkningsvärda tekniker inom Infamous Chisel. För det första ersatte en komponent en legitim körbar, netd, för att säkerställa beständighet. För det andra var ändringar av autentiseringsfunktionen i komponenter som innehåller Dropbear särskilt anmärkningsvärda. Båda dessa tekniker kräver en betydande nivå av C++-kunskap och en förståelse för Linux-autentisering och startmekanismer, enligt NCSC:s bedömning.