臭名昭著的 Chisel 恶意软件瞄准乌克兰

英国国家网络安全中心（NCSC）及其在英语国家五眼情报联盟内的盟友已正式将针对乌克兰军事目标的一系列网络攻击归咎于“沙虫”高级持续威胁（APT）组织。这一确认支持了乌克兰安全局 (SBU) 先前的说法，该局最初曝光了 8 月份攻击中使用的独特的 Inknown Chisel 恶意软件家族。

Sandworm 是一个与俄罗斯军事情报机构 GRU 有联系的 APT 组织，它利用 Inknown Chisel 恶意软件来攻击乌克兰武装部队拥有的 Android 移动设备。乌克兰人确定了该恶意软件的 10 个不同组件，从本质上讲，该恶意软件旨在秘密监控受感染的设备。

NCSC 运营总监 Paul Chichester 评论道：“此次针对乌克兰军事资产的恶意活动的曝光凸显了俄罗斯在乌克兰的非法冲突如何延伸到网络空间。我们的最新报告提供了对这种新恶意软件功能的专家见解，并体现了我们的合作努力与盟友一起支持乌克兰的强大防御。英国仍然致力于揭露俄罗斯的网络侵略，并将坚持这样做。”

SBU 与乌克兰武装部队合作，成功挫败了俄罗斯获取敏感信息的企图。据信，这些信息包括有关部队部署、行动和技术规定的数据。

SBU 网络安全负责人 Illia Vitiuk 表示：“自全面冲突爆发以来，我们一直在防御俄罗斯情报部门精心策划的网络攻击，这些攻击旨在破坏我们的军事指挥系统等。我们开展的行动代表我们军队的网络防御。”

臭名昭著的凿子活动的更多细节

SSU 的网络调查人员发现 GRU 获得了在战场上从乌克兰军队缴获的平板电脑。然后，这些平板电脑被用来利用预先配置的访问权限，从而在“漫长而细致”的准备阶段将文件恶意分发到其他 Android 设备。

Inknown Chisel 的各个组件相互协作，通过 Tor 网络持续访问受感染的 Android 设备。这是通过使用连接到修改后的 Dropbear 二进制文件的隐藏服务配置和执行 Tor 来实现的，从而提供安全套接字 shell (SSH) 连接。恶意软件会定期收集和泄露受害者数据，扫描特定的文件扩展名。此外，它还监视本地网络，识别活动主机并打开端口以收集各种数据点。

NCSC 指出，该恶意软件的各种组件表现出低到中等的复杂程度，缺乏强大的防御规避或隐藏功能。这可能是因为许多 Android 设备缺乏基于主机的检测系统。

然而，NCSC 的报告强调了 Inknown Chisel 中两项值得注意的技术。首先，一个组件替换了合法的可执行文件 netd，以确保持久性。其次，包含 Dropbear 的组件中对身份验证功能的修改尤其值得注意。根据 NCSC 的评估，这两种技术都需要大量的 C++ 知识以及对 Linux 身份验证和启动机制的了解。