Infame programari maliciós per a mòbils de Chisel
Els ciberoperatius afiliats a la Direcció Principal de l'Estat Major de les Forces Armades de la Federació de Rússia, comunament coneguts com GRU, han iniciat una campanya dirigida als dispositius Android a Ucraïna. La seva arma escollida en aquesta ofensiva és un conjunt d'eines amenaçador descobert recentment i anomenada "Cisell infame".
Aquest marc desagradable ofereix als pirates informàtics accés a la porta del darrere als dispositius objectiu mitjançant un servei ocult dins de la xarxa The Onion Router (Tor). Aquest servei ofereix als atacants la possibilitat d'escanejar fitxers locals, interceptar el trànsit de la xarxa i extreure dades sensibles.
El Servei de Seguretat d'Ucraïna (SSU) va donar primer l'alarma sobre l'amenaça, alertant el públic dels esforços del grup de pirateria Sandworm per infiltrar-se en els sistemes de comandament militar amb aquest programari maliciós.
Després, tant el Centre Nacional de Ciberseguretat del Regne Unit (NCSC) com l'Agència de Seguretat Cibernètica i Infraestructura (CISA) dels Estats Units han aprofundit en els complexos aspectes tècnics de l'Infamous Chisel. Els seus informes aporten llum sobre les seves capacitats i proporcionen informació inestimable per reforçar les mesures de defensa contra aquesta amenaça cibernètica.
El cisell infame compta amb una àmplia gamma de capacitats perjudicials
L'Infamous Chisel està compromès amb diversos components dissenyats per establir un control persistent sobre dispositius Android compromesos a través de la xarxa Tor. Periòdicament, recopila i transfereix dades de les víctimes dels dispositius infectats.
En infiltrar-se amb èxit en un dispositiu, el component central, 'netd', assumeix el control i està preparat per executar un conjunt d'ordres i scripts d'intèrpret d'ordres. Per garantir una persistència duradora, substitueix el binari legítim del sistema Android 'netd'.
Aquest programari maliciós està dissenyat específicament per comprometre els dispositius Android i per buscar meticulosament informació i aplicacions relacionades amb l'exèrcit ucraïnès. Totes les dades adquirides es reenvien després als servidors de l'autor.
Per evitar la duplicació dels fitxers enviats, un fitxer ocult anomenat ".google.index" utilitza hash MD5 per controlar les dades transmeses. La capacitat del sistema està limitada a 16.384 fitxers, de manera que els duplicats es podrien exfiltrar més enllà d'aquest llindar.
L'Infamous Cisel crea una xarxa àmplia quan es tracta d'extensions de fitxers, orientant-se a una llista extensa que inclou .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonia.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. A més, escaneja la memòria interna del dispositiu i les targetes SD disponibles, sense deixar cap pedra sense girar en la seva recerca de dades.
Els atacants poden utilitzar l'Infamous Cisel per obtenir dades sensibles
El programari maliciós Infamous Chisel realitza una exploració completa al directori /data/ d'Android, buscant aplicacions com Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , i una sèrie d'altres.
A més, aquest programari amenaçador té la capacitat de recopilar informació de maquinari i realitzar exploracions a la xarxa d'àrea local per identificar ports oberts i amfitrions actius. Els atacants poden obtenir accés remot mitjançant SOCKS i una connexió SSH, que es redirigeix a través d'un domini .ONION generat aleatòriament.
L'exfiltració de fitxers i dades del dispositiu es produeix a intervals regulars, precisament cada 86.000 segons, l'equivalent a un dia. Les activitats d'escaneig de LAN es produeixen cada dos dies, mentre que l'extracció de dades militars molt sensibles es fa amb molta més freqüència, a intervals de 600 segons (cada 10 minuts).
A més, la configuració i l'execució dels serveis Tor que faciliten l'accés remot estan programades per fer-se cada 6.000 segons. Per mantenir la connectivitat de la xarxa, el programari maliciós realitza comprovacions al domini "geodatatoo(dot)com" cada 3 minuts.
Val la pena assenyalar que el programari maliciós Infamous Chisel no prioritza la sigil·litat; en canvi, sembla estar molt més interessat en l'exfiltració de dades ràpida i en avançar ràpidament cap a xarxes militars més valuoses.
