Zlonamerna zlonamerna programska oprema za mobilne naprave Chisel
Kibernetski operativci, povezani z glavnim direktoratom generalštaba oboroženih sil Ruske federacije, običajno imenovanim GRU, so sprožili ciljno usmerjeno kampanjo, namenjeno napravam Android v Ukrajini. Njihovo izbrano orožje v tej ofenzivi je nedavno odkrito in zlovešče grozilno orodje, poimenovano 'Zloglasno dleto'.
Ta grdi okvir omogoča hekerjem stranski dostop do ciljnih naprav prek skrite storitve v omrežju The Onion Router (Tor). Ta storitev napadalcem omogoča skeniranje lokalnih datotek, prestrezanje omrežnega prometa in pridobivanje občutljivih podatkov.
Ukrajinska varnostna služba (SSU) je prva sprožila alarm zaradi grožnje in javnost opozorila na prizadevanja hekerske skupine Sandworm, da bi se infiltrirala v vojaške poveljniške sisteme s to zlonamerno programsko opremo.
Nato sta se Nacionalni center za kibernetsko varnost Združenega kraljestva (NCSC) in Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) poglobila v zapletene tehnične vidike zloglasnega dleta. Njihova poročila osvetljujejo njegove zmogljivosti in nudijo neprecenljive vpoglede za krepitev obrambnih ukrepov proti tej kibernetski grožnji.
Zloglasno dleto se ponaša s široko paleto škodljivih zmožnosti
Infamous Chisel je ogrožen iz več komponent, namenjenih vzpostavljanju trajnega nadzora nad ogroženimi napravami Android prek omrežja Tor. Občasno zbira in prenaša podatke o žrtvah iz okuženih naprav.
Po uspešni infiltraciji v napravo osrednja komponenta 'netd' prevzame nadzor in je pripravljena za izvajanje niza ukazov in lupinskih skriptov. Za zagotovitev trajne obstojnosti nadomešča zakonito sistemsko dvojiško datoteko »netd« Android.
Ta zlonamerna programska oprema je zasnovana posebej za ogrožanje naprav Android in za natančno iskanje informacij in aplikacij, ki se nanašajo na ukrajinsko vojsko. Vsi pridobljeni podatki se nato posredujejo na strežnike storilca.
Da bi preprečili podvajanje poslanih datotek, skrita datoteka, imenovana '.google.index', uporablja zgoščene vrednosti MD5 za spremljanje poslanih podatkov. Zmogljivost sistema je omejena na 16.384 datotek, tako da bi dvojnike lahko presegli ta prag.
Infamous Chisel postavlja široko mrežo, ko gre za datotečne končnice, ciljajoč na obsežen seznam, vključno z .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Poleg tega skenira notranji pomnilnik naprave in vse razpoložljive kartice SD, pri čemer v iskanju podatkov ne pusti neprevrnjenega kamna.
Napadalci lahko uporabijo zloglasno dleto za pridobivanje občutljivih podatkov
Zlonamerna programska oprema Infamous Chisel izvaja obsežen pregled v Androidovem imeniku /data/ in išče aplikacije, kot so Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts in vrsta drugih.
Poleg tega ima ta grozeča programska oprema zmožnost zbiranja informacij o strojni opremi in izvajanja pregledov v lokalnem omrežju za prepoznavanje odprtih vrat in aktivnih gostiteljev. Napadalci lahko pridobijo oddaljeni dostop prek SOCKS in SSH povezave, ki je preusmerjena prek naključno generirane domene .ONION.
Eksfiltracija datotek in podatkov o napravah poteka v rednih intervalih, natančno vsakih 86.000 sekund, kar je enakovredno enemu dnevu. Aktivnosti skeniranja LAN potekajo vsaka dva dneva, medtem ko pridobivanje zelo občutljivih vojaških podatkov poteka veliko pogosteje, v intervalih 600 sekund (vsakih 10 minut).
Poleg tega naj bi se konfiguracija in izvedba storitev Tor, ki omogočajo oddaljen dostop, izvajala vsakih 6000 sekund. Da bi ohranila omrežno povezljivost, zlonamerna programska oprema vsake 3 minute izvaja preverjanja domene geodatatoo(dot)com.
Omeniti velja, da zlonamerna programska oprema Infamous Chisel ne daje prednosti prikritosti; namesto tega se zdi, da je veliko bolj zainteresirana za hitro ekstrakcijo podatkov in hitro premikanje proti bolj dragocenim vojaškim omrežjem.
