Kurikuulus Chisel Mobile'i pahavara
Venemaa Föderatsiooni relvajõudude peastaabi peadirektoraadiga (tavaliselt nimetatud GRU-ks) seotud küberoperaatorid on algatanud sihitud kampaania, mis on suunatud Ukrainas asuvatele Android-seadmetele. Nende valitud relv sellel rünnakul on hiljuti avastatud ja kurjakuulutav ähvardav tööriistakomplekt, mida nimetatakse "kurikuulsaks peitliks".
See vastik raamistik võimaldab häkkeritel juurdepääsu sihtseadmetele tagaukse kaudu peidetud teenuse kaudu võrgus The Onion Router (Tor). See teenus annab ründajatele võimaluse skannida kohalikke faile, peatada võrguliiklust ja eraldada tundlikke andmeid.
Ukraina julgeolekuteenistus (SSU) andis ohust esmalt häirekella, hoiatades avalikkust Sandworm häkkimisrühma püüdlustest tungida selle pahavara abil sõjaväe juhtimissüsteemidesse.
Hiljem on nii Ühendkuningriigi riiklik küberjulgeoleku keskus (NCSC) kui ka USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) süvenenud kurikuulsa peitli keerulistesse tehnilistesse aspektidesse. Nende aruanded heidavad valgust selle võimetele ja annavad hindamatuid teadmisi, et tugevdada kaitsemeetmeid selle küberohu vastu.
Kurikuulsal peitlil on lai valik kahjulikke omadusi
Kurikuulus peitel on ohustatud mitmest komponendist, mis on loodud püsiva kontrolli loomiseks ohustatud Android-seadmete üle Tor-võrgu kaudu. See kogub ja edastab perioodiliselt nakatunud seadmetest ohvriandmeid.
Pärast edukat seadmesse tungimist võtab keskne komponent "netd" enda kätte juhtimise ja on valmis täitma käskude komplekti ja kestaskripte. Kestva püsivuse tagamiseks tõrjub see välja legitiimse "netd" Androidi süsteemi binaarfaili.
See pahavara on loodud spetsiaalselt Android-seadmete ohustamiseks ning Ukraina sõjaväega seotud teabe ja rakenduste täpseks otsimiseks. Seejärel edastatakse kõik omandatud andmed kurjategija serveritesse.
Saadetud failide dubleerimise vältimiseks kasutab peidetud fail nimega „.google.index” edastatavate andmete jälgimiseks MD5 räsi. Süsteemi mahutavus on piiratud 16 384 failiga, nii et duplikaate saab sellest läve ületada.
Kurikuulus peitel loob laiemat võrku faililaiendite osas, sihites ulatuslikku loendit, sealhulgas .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Lisaks skannib see seadme sisemälu ja kõiki saadaolevaid SD-kaarte, jättes andmete otsimisel kivi pööramata.
Ründajad saavad tundlike andmete hankimiseks kasutada kurikuulsat peitlit
Kurikuulus Chiseli pahavara viib läbi põhjaliku skannimise Androidi /data/ kataloogis, otsides selliseid rakendusi nagu Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts ja hulk teisi.
Veelgi enam, sellel ähvardaval tarkvaral on võimalus koguda riistvarateavet ja skannida kohtvõrku, et tuvastada avatud pordid ja aktiivsed hostid. Ründajad saavad kaugjuurdepääsu SOCKS-i ja SSH-ühenduse kaudu, mis suunatakse ümber juhuslikult loodud .ONION domeeni kaudu.
Failide ja seadmeandmete väljafiltreerimine toimub korrapäraste ajavahemike järel, täpselt iga 86 000 sekundi järel, mis võrdub ühe päevaga. LAN-i skannimistoimingud toimuvad iga kahe päeva tagant, samas kui ülitundlike sõjaliste andmete väljavõtmine toimub palju sagedamini, 600-sekundiliste intervallidega (iga 10 minuti järel).
Lisaks on kaugjuurdepääsu hõlbustavate Tor-teenuste konfigureerimine ja käivitamine kavandatud iga 6000 sekundi järel. Võrguühenduse säilitamiseks kontrollib pahavara domeeni 'geodatatoo(dot)com' iga 3 minuti järel.
Väärib märkimist, et kurikuulus Chiseli pahavara ei sea esikohale vargsi; selle asemel näib see olevat palju rohkem huvitatud andmete kiirest väljafiltreerimisest ja kiirest liikumisest väärtuslikumate sõjaliste võrkude poole.
