Hackeři, pracující pro ruskou vojenskou zpravodajskou službu GRU, se prostřednictvím malwaru označovaného jako „Infamous Chisel“ zaměřují na ukrajinské mobilní telefony s operačním systémem Android. Sada nástrojů poskytuje hackerům přístup „zadními vrátky“ prostřednictvím služby skryté v anonymní síti The Onion Router (Tor). Podrobnosti přináší magazín Bleeping Computer.
Před malwarem varovala na začátku září Ukrajinská bezpečnostní služba SSU s tím, že se jedná o snahu hackerské skupiny Sandworm proniknout do vojenských řídicích systémů. Upozornila, že škodlivé aplikace například odesílají soubory uložené v zařízeních, zachytávají síťový provoz a skenují sítě.
Ukrajinští představitelé tehdy uvedli, že ukrajinský personál „zabránil ruským zpravodajským službám v přístupu k citlivým informacím, včetně údajů o činnosti ozbrojených sil, rozmístění obranných sil, jejich technického zabezpečení atd.“
Zákeřný ruský malware
Nejnovější zprávy britského Národního centra pro kybernetickou bezpečnost (NCSC) a americké Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) se hlouběji zabývají technickými detaily malwaru Infamous Chisel, ukazují jeho schopnosti a sdílejí informace, které mohou pomoci při obraně proti němu.
NCSC popisuje Infamous Chisel jako „soubor komponent, které umožňují trvalý přístup k infikovanému zařízení se systémem Android přes síť Tor a které pravidelně shromažďují a exfiltrují informace oběti z napadených zařízení.“ Zatímco jedna z komponent sbírá a odesílá data, druhá zajišťuje komunikaci přes anonymní síť Tor a třetí monitoruje síťové přenosy.
Po infiltraci do zařízení primární komponenta netd, která obsahuje sadu příkazů a skriptů shellu, nahradí legitimní systémovou komponentu, čímž dosáhne perzistence, tedy schopnosti fungovat i po vypnutí a opětovném zapnutí či restartu zařízení. Malware dále skenuje a vyhledává informace a aplikace související s ukrajinskou armádou, aby je odeslal na servery útočníků.
Infamous Chisel se zaměřuje na soubory uložené v interní paměti zařízení i na paměťové kartě. Konkrétně ho zajímají soubory s příponami dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx, .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hikjournal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz, .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, signal.db ,mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe a .kml.
Není zvlášť sofistikovaný
Kromě toho ve složce /data/ vyhledává aplikace jako Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Kontakty a mnoho dalších. Malware může také shromažďovat informace o hardwaru, zkoumat místní síť na otevřené porty a aktivní hostitele a poskytovat útočníkům vzdálený přístup prostřednictvím připojení přes náhodně generovanou doménu .ONION.
Při exfiltraci zájmových souborů používá nástroj Infamous Chisel protokol TLS a pevně zadanou IP adresu a port. Použití místní IP adresy je pravděpodobně mechanismus pro předávání síťového provozu přes VPN nebo jiný zabezpečený kanál nakonfigurovaný v infikovaném zařízení. To umožňuje, aby provoz splynul s běžným šifrovaným síťovým provozem.
K odesílání odcizených dat a souborů dochází každých 86 000 sekund, tedy jednou za den. Ke skenování LAN dochází každé dva dny a nejkritičtější vojenská data jsou odesílána mnohem častěji – každých 10 minut. Zcizované informace jsou kombinací systémových informací o zařízení, o komerčních aplikacích a aplikacích používaných ukrajinskou armádou.
NCSC poznamenává, že Infamous Chisel není nijak zvlášť skrytý a zdá se, že jeho cílem je rychlá exfiltrace dat a přechod do cennějších vojenských sítí. Agentura uvádí, že komponenty sady nástrojů nejsou nijak zvlášť sofistikované (nízká až střední složitost) a zdá se, že byly vyvinuty „s malým ohledem na vyhýbání se ochraně nebo utajení škodlivé činnosti“.