Διαβόητο κακόβουλο λογισμικό Chisel Mobile

Πράκτορες του κυβερνοχώρου που συνδέονται με την Κύρια Διεύθυνση του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσικής Ομοσπονδίας, που συνήθως αναφέρονται ως GRU, ξεκίνησαν μια στοχευμένη εκστρατεία που στοχεύει σε συσκευές Android εντός της Ουκρανίας. Το όπλο της επιλογής τους σε αυτή την επίθεση είναι μια πρόσφατα ανακαλυφθείσα και δυσοίωνη απειλητική εργαλειοθήκη που ονομάζεται "Infamous Chisel".

Αυτό το δυσάρεστο πλαίσιο παρέχει στους χάκερ πρόσβαση σε κερκόπορτα στις στοχευμένες συσκευές μέσω μιας κρυφής υπηρεσίας εντός του δικτύου The Onion Router (Tor). Αυτή η υπηρεσία παρέχει στους εισβολείς τη δυνατότητα να σαρώνουν τοπικά αρχεία, να παρακολουθούν την κυκλοφορία δικτύου και να εξάγουν ευαίσθητα δεδομένα.

Η Ουκρανική Υπηρεσία Ασφαλείας (SSU) σήμανε πρώτα τον κώδωνα του κινδύνου για την απειλή, ειδοποιώντας το κοινό για τις προσπάθειες της ομάδας hacking Sandworm να διεισδύσει σε συστήματα στρατιωτικής διοίκησης χρησιμοποιώντας αυτό το κακόβουλο λογισμικό.

Στη συνέχεια, τόσο το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) όσο και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) έχουν εμβαθύνει στις περίπλοκες τεχνικές πτυχές του Infamous Chisel. Οι αναφορές τους ρίχνουν φως στις δυνατότητές του και παρέχουν ανεκτίμητες γνώσεις για την ενίσχυση των αμυντικών μέτρων έναντι αυτής της απειλής στον κυβερνοχώρο.

Το Infamous Chisel διαθέτει ένα ευρύ φάσμα επιβλαβών δυνατοτήτων

Το Infamous Chisel έχει παραβιαστεί από πολλά στοιχεία που έχουν σχεδιαστεί για να καθιερώνουν μόνιμο έλεγχο σε παραβιασμένες συσκευές Android μέσω του δικτύου Tor. Περιοδικά, συλλέγει και μεταφέρει δεδομένα θυμάτων από τις μολυσμένες συσκευές.

Μετά την επιτυχή διείσδυση μιας συσκευής, το κεντρικό στοιχείο, «netd», αναλαμβάνει τον έλεγχο και είναι έτοιμο να εκτελέσει ένα σύνολο εντολών και σεναρίων φλοιού. Για να διασφαλίσει διαρκή επιμονή, αντικαθιστά το νόμιμο «netd» δυαδικό σύστημα Android.

Αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί ειδικά για να υπονομεύει συσκευές Android και να σαρώνει σχολαστικά για πληροφορίες και εφαρμογές που σχετίζονται με τον ουκρανικό στρατό. Στη συνέχεια, όλα τα δεδομένα που αποκτήθηκαν προωθούνται στους διακομιστές του δράστη.

Για να αποτραπεί η αντιγραφή των απεσταλμένων αρχείων, ένα κρυφό αρχείο με το όνομα ".google.index" χρησιμοποιεί κατακερματισμούς MD5 για να διατηρεί καρτέλες στα μεταδιδόμενα δεδομένα. Η χωρητικότητα του συστήματος περιορίζεται στα 16.384 αρχεία, επομένως τα διπλότυπα θα μπορούσαν να διεξαχθούν πέρα από αυτό το όριο.

Το Infamous Chisel προσφέρει ένα ευρύ δίκτυο όσον αφορά τις επεκτάσεις αρχείων, στοχεύοντας μια εκτενή λίστα που περιλαμβάνει .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Επιπλέον, σαρώνει την εσωτερική μνήμη της συσκευής και τυχόν διαθέσιμες κάρτες SD, χωρίς να αφήνει κανένα βήμα στην αναζήτηση δεδομένων.

Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν το Infamous Chisel για να αποκτήσουν ευαίσθητα δεδομένα

Το κακόβουλο λογισμικό Infamous Chisel πραγματοποιεί μια ολοκληρωμένη σάρωση στον κατάλογο /data/ του Android, αναζητώντας εφαρμογές όπως Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Επαφές , και μια σειρά από άλλα.

Επιπλέον, αυτό το απειλητικό λογισμικό έχει τη δυνατότητα να συλλέγει πληροφορίες υλικού και να εκτελεί σαρώσεις στο τοπικό δίκτυο για να αναγνωρίζει ανοιχτές θύρες και ενεργούς κεντρικούς υπολογιστές. Οι εισβολείς μπορούν να αποκτήσουν απομακρυσμένη πρόσβαση μέσω SOCKS και μιας σύνδεσης SSH, η οποία αναδρομολογείται μέσω ενός τομέα .ONION που δημιουργείται τυχαία.

Η εξαγωγή αρχείων και δεδομένων συσκευής γίνεται σε τακτά χρονικά διαστήματα, ακριβώς κάθε 86.000 δευτερόλεπτα, ισοδύναμο μιας ημέρας. Οι δραστηριότητες σάρωσης LAN εμφανίζονται κάθε δύο ημέρες, ενώ η εξαγωγή εξαιρετικά ευαίσθητων στρατιωτικών δεδομένων πραγματοποιείται πολύ πιο συχνά, σε διαστήματα 600 δευτερολέπτων (κάθε 10 λεπτά).

Επιπλέον, η διαμόρφωση και η εκτέλεση των υπηρεσιών Tor που διευκολύνουν την απομακρυσμένη πρόσβαση έχουν προγραμματιστεί να πραγματοποιούνται κάθε 6.000 δευτερόλεπτα. Για να διατηρήσει τη συνδεσιμότητα δικτύου, το κακόβουλο λογισμικό πραγματοποιεί ελέγχους στον τομέα «geodatatoo(dot)com» κάθε 3 λεπτά.

Αξίζει να σημειωθεί ότι το κακόβουλο λογισμικό Infamous Chisel δεν δίνει προτεραιότητα στη μυστικότητα. Αντίθετα, φαίνεται να ενδιαφέρεται πολύ περισσότερο για την ταχεία διείσδυση δεδομένων και τη γρήγορη μετάβαση προς πιο πολύτιμα στρατιωτικά δίκτυα.