Niesławne mobilne złośliwe oprogramowanie Chisel

Cyberagenci zrzeszeni w Dyrekcji Głównej Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej, powszechnie nazywani GRU, rozpoczęli na Ukrainie ukierunkowaną kampanię skierowaną do urządzeń z Androidem. Ich ulubioną bronią w tej ofensywie jest niedawno odkryty i złowieszczy, groźny zestaw narzędzi nazwany „Niesławnym Dłutem”.

Ta paskudna platforma zapewnia hakerom dostęp do docelowych urządzeń za pośrednictwem ukrytej usługi w sieci The Onion Router (Tor). Usługa ta umożliwia atakującym skanowanie plików lokalnych, przechwytywanie ruchu sieciowego i wydobywanie poufnych danych.

Ukraińska Służba Bezpieczeństwa (SSU) jako pierwsza podniosła alarm w związku z zagrożeniem, ostrzegając opinię publiczną o wysiłkach grupy hakerskiej Sandworm mającej na celu infiltrację wojskowych systemów dowodzenia przy użyciu tego szkodliwego oprogramowania.

Następnie zarówno brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC), jak i amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) zagłębiły się w zawiłe aspekty techniczne Infamous Chisel. Ich raporty rzucają światło na jego możliwości i dostarczają bezcennych spostrzeżeń, które pomogą wzmocnić środki obrony przed tym cyberzagrożeniem.

Niesławne dłuto ma szeroki zakres szkodliwych właściwości

Infamous Chisel składa się z kilku komponentów zaprojektowanych w celu zapewnienia trwałej kontroli nad zaatakowanymi urządzeniami z Androidem za pośrednictwem sieci Tor. Okresowo zbiera i przesyła dane ofiar z zainfekowanych urządzeń.

Po pomyślnej infiltracji urządzenia centralny komponent „netd” przejmuje kontrolę i jest gotowy do wykonania zestawu poleceń i skryptów powłoki. Aby zapewnić trwałą trwałość, zastępuje legalny plik binarny systemu Android „netd”.

To złośliwe oprogramowanie zostało specjalnie zaprojektowane do hakowania urządzeń z systemem Android oraz do dokładnego skanowania w poszukiwaniu informacji i aplikacji związanych z ukraińskim wojskiem. Wszystkie pozyskane dane są następnie przekazywane na serwery sprawcy.

Aby zapobiec duplikowaniu wysyłanych plików, ukryty plik o nazwie „.google.index” wykorzystuje skróty MD5 do kontrolowania przesyłanych danych. Pojemność systemu jest ograniczona do 16 384 plików, więc duplikaty mogą zostać wydobyte powyżej tego progu.

Infamous Chisel zarzuca szeroką sieć, jeśli chodzi o rozszerzenia plików, celując w obszerną listę, w tym .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefonia.db, .png, .jpg, .jpeg, .kme, baza danych.hik, baza danych.hik-journal, ezvizlog.db, cache4.db, kontakty2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, sygnał.db, mmssms.db, profile.db, konta.db, PyroMsg.DB, .exe , .kml. Co więcej, skanuje pamięć wewnętrzną urządzenia i wszelkie dostępne karty SD, nie pozostawiając kamienia obojętnym w poszukiwaniu danych.

Atakujący mogą wykorzystać niesławne dłuto w celu uzyskania poufnych danych

Szkodnik Infamous Chisel przeprowadza kompleksowe skanowanie katalogu /data/ Androida w poszukiwaniu aplikacji, takich jak Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts i szereg innych.

Co więcej, to groźne oprogramowanie może zbierać informacje o sprzęcie i przeprowadzać skanowanie sieci lokalnej w celu identyfikacji otwartych portów i aktywnych hostów. Atakujący mogą uzyskać zdalny dostęp poprzez SOCKS i połączenie SSH, które jest przekierowywane przez losowo wygenerowaną domenę .ONION.

Ekstrakcja plików i danych urządzenia następuje w regularnych odstępach czasu, dokładnie co 86 000 sekund, co odpowiada jednemu dniu. Skanowanie sieci LAN odbywa się co dwa dni, natomiast ekstrakcja bardzo wrażliwych danych wojskowych odbywa się znacznie częściej, w odstępach 600 sekund (co 10 minut).

Co więcej, konfiguracja i uruchamianie usług Tora ułatwiających zdalny dostęp są zaplanowane co 6000 sekund. Aby utrzymać łączność sieciową, szkodliwe oprogramowanie sprawdza domenę „geodatoo(dot)com” co 3 minuty.

Warto zauważyć, że złośliwe oprogramowanie Infamous Chisel nie traktuje priorytetowo ukrywania się; zamiast tego wydaje się być znacznie bardziej zainteresowany szybką eksfiltracją danych i szybkim przejściem do bardziej wartościowych sieci wojskowych.