Agencje ds. cyberbezpieczeństwa i wywiadu z Australii, Kanady, Nowej Zelandii, Wielkiej Brytanii i Stanów Zjednoczonych ujawniły w czwartek szczegóły dotyczące mobilnego szkodliwego oprogramowania atakującego urządzenia z Androidem używane przez ukraińskie wojsko.
Szkodliwe oprogramowanie, nazwane Infamous Chisel i przypisywane sponsorowanemu przez państwo rosyjskiemu aktorowi o nazwie Sandworm, ma możliwości „nieautoryzowanego dostępu do zainfekowanych urządzeń, skanowania plików, monitorowania ruchu i okresowej kradzieży poufnych informacji”.
Służba Bezpieczeństwa Ukrainy (SBU) odkryła na początku sierpnia niektóre aspekty szkodliwego oprogramowania oraz udaremniła próby zebrania cennych informacji wywiadowczych.
Mówi się, że siły rosyjskie przejęły tablety używane przez Ukrainę na polu bitwy i wykorzystały je jako przyczółek do zdalnego rozprzestrzeniania szkodliwego oprogramowania na inne urządzenia za pomocą narzędzia Android Debug Bridge (ADB ).
Infamous Chisel jest opisywany jako zbiór wielu komponentów zaprojektowanych z myślą o umożliwieniu zdalnego dostępu i wydobywaniu informacji z telefonów z systemem Android.
Oprócz skanowania urządzeń w poszukiwaniu informacji i plików odpowiadających predefiniowanemu zestawowi rozszerzeń, szkodliwe oprogramowanie zawiera również funkcję okresowego skanowania sieci lokalnej i oferuje dostęp za pomocą protokołu SSH.
„Infamous Chisel zapewnia również zdalny dostęp poprzez konfigurację i uruchomienie TOR z ukrytą usługą, która przekazuje dane do zmodyfikowanego pliku binarnego Dropbear zapewniającego połączenie SSH” – oznajmił sojusz wywiadowczy Five Eyes (FVEY).
Krótki opis każdego z modułów jest następujący:
- netd — Zbiera i wydobywa informacje z zaatakowanego urządzenia w określonych odstępach czasu, w tym z katalogów specyficznych dla aplikacji i przeglądarek internetowych
- td – Świadczenie usług TOR
- blob — Skonfiguruj usługi Tor i sprawdź łączność sieciową (wykonywane przez netd)
- tcpdump — legalne narzędzie tcpdump bez modyfikacji
- killer– Zakończ proces sieciowy
- db – Zawiera kilka narzędzi do kopiowania plików i zapewnienia bezpiecznego dostępu powłoki do urządzenia za pośrednictwem ukrytej usługi TOR przy użyciu zmodyfikowanej wersji Dropbear
- NDBR — plik binarny z wieloma wywołaniami, podobny do db, dostępny w dwóch wersjach, aby móc działać na architekturach procesorów Arm (ndbr_armv7l) i Intel (ndbr_i686)
m
Trwałość na urządzeniu osiąga się poprzez zastąpienie legalnego demona netd, który jest odpowiedzialny za konfigurację sieci w systemie Android, umożliwiającą mu wykonywanie poleceń jako użytkownik root.
Jeśli chodzi o częstotliwość eksfiltracji, kompilacja danych plików i urządzeń odbywa się codziennie, natomiast wrażliwe informacje wojskowe są przesyłane co 10 minut. Sieć lokalna jest skanowana raz na dwa dni.
„Komponenty Infamous Chisel charakteryzują się niskim lub średnim poziomem zaawansowania i wydaje się, że zostały opracowane z niewielkim uwzględnieniem ukrywania złośliwych działań” – stwierdziły agencje.
Więcej informacji na temat oprogramowania można pozyskać ze strony Amerykańskiej agencji obrony cybernetycznej