臭名昭著的 Chisel 惡意軟件瞄準烏克蘭

英國國家網絡安全中心（NCSC）及其在英語國家五眼情報聯盟內的盟友已正式將針對烏克蘭軍事目標的一系列網絡攻擊歸咎於“沙蟲”高級持續威脅（APT）組織。這一確認支持了烏克蘭安全局 (SBU) 先前的說法，該局最初曝光了 8 月份攻擊中使用的獨特的 Inknown Chisel 惡意軟件家族。

Sandworm 是一個與俄羅斯軍事情報機構 GRU 有聯繫的 APT 組織，它利用 Inknown Chisel 惡意軟件來攻擊烏克蘭武裝部隊擁有的 Android 移動設備。烏克蘭人確定了該惡意軟件的 10 個不同組件，從本質上講，該惡意軟件旨在秘密監控受感染的設備。

NCSC 運營總監Paul Chichester 評論道：“此次針對烏克蘭軍事資產的惡意活動的曝光凸顯了俄羅斯在烏克蘭的非法衝突如何延伸到網絡空間。我們的最新報告提供了對這種新惡意軟件功能的專家見解，並體現了我們的合作努力與盟友一起支持烏克蘭的強大防禦。英國仍然致力於揭露俄羅斯的網絡侵略，並將堅持這樣做。”

SBU 與烏克蘭武裝部隊合作，成功挫敗了俄羅斯獲取敏感信息的企圖。據信，這些信息包括有關部隊部署、行動和技術規定的數據。

SBU 網絡安全負責人 Illia Vitiuk 表示：“自全面衝突爆發以來，我們一直在防禦俄羅斯情報部門精心策劃的網絡攻擊，這些攻擊旨在破壞我們的軍事指揮系統等。我們開展的行動代表我們軍隊的網絡防禦。”

臭名昭著的鑿子活動的更多細節

SSU 的網絡調查人員發現 GRU 獲得了在戰場上從烏克蘭軍隊繳獲的平板電腦。然後，這些平板電腦被用來利用預先配置的訪問權限，從而在“漫長而細緻”的準備階段將文件惡意分發到其他 Android 設備。

Inknown Chisel 的各個組件相互協作，通過 Tor 網絡持續訪問受感染的 Android 設備。這是通過使用連接到修改後的 Dropbear 二進製文件的隱藏服務配置和執行 Tor 來實現的，從而提供安全套接字 shell (SSH) 連接。惡意軟件會定期收集和洩露受害者數據，掃描特定的文件擴展名。此外，它還監視本地網絡，識別活動主機並打開端口以收集各種數據點。

NCSC 指出，該惡意軟件的各種組件表現出低到中等的複雜程度，缺乏強大的防禦規避或隱藏功能。這可能是因為許多 Android 設備缺乏基於主機的檢測系統。

然而，NCSC 的報告強調了 Inknown Chisel 中兩項值得注意的技術。首先，一個組件替換了合法的可執行文件 netd，以確保持久性。其次，包含 Dropbear 的組件中對身份驗證功能的修改尤其值得注意。根據 NCSC 的評估，這兩種技術都需要大量的 C++ 知識以及對 Linux 身份驗證和啟動機制的了解。