البرمجيات الخبيثة Chisel Mobile الضارة

بدأ نشطاء الإنترنت التابعون للمديرية الرئيسية لهيئة الأركان العامة للقوات المسلحة للاتحاد الروسي، والتي يشار إليها عادةً باسم GRU، حملة مستهدفة تستهدف أجهزة Android داخل أوكرانيا. سلاحهم المفضل في هذا الهجوم هو مجموعة أدوات التهديد المشؤومة التي تم اكتشافها مؤخرًا والتي يطلق عليها اسم "الإزميل سيئ السمعة".

يتيح هذا الإطار السيئ للمتسللين الوصول إلى الأجهزة المستهدفة عبر الباب الخلفي عبر خدمة مخفية داخل شبكة Onion Router (Tor). تمنح هذه الخدمة المهاجمين القدرة على فحص الملفات المحلية، واعتراض حركة مرور الشبكة، واستخراج البيانات الحساسة.

أطلقت خدمة الأمن الأوكرانية (SSU) أولًا ناقوس الخطر بشأن التهديد، ونبهت الجمهور إلى مساعي مجموعة القرصنة Sandworm للتسلل إلى أنظمة القيادة العسكرية باستخدام هذه البرامج الضارة.

بعد ذلك، قام كل من المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) ووكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بالتعمق في الجوانب الفنية المعقدة للإزميل سيئ السمعة. تسلط تقاريرهم الضوء على قدراتها وتقدم رؤى لا تقدر بثمن لتعزيز التدابير الدفاعية ضد هذا التهديد السيبراني.

يتمتع الإزميل سيئ السمعة بمجموعة واسعة من القدرات الضارة

تم اختراق Infamous Chisel من عدة مكونات مصممة لتأسيس تحكم مستمر على أجهزة Android المخترقة من خلال شبكة Tor. ويقوم بشكل دوري بجمع ونقل بيانات الضحية من الأجهزة المصابة.

عند اختراق أحد الأجهزة بنجاح، يتولى المكون المركزي، "netd"، التحكم ويكون جاهزًا لتنفيذ مجموعة من الأوامر ونصوص shell. ولضمان الاستمرارية الدائمة، فإنه يحل محل النظام الثنائي الشرعي لنظام Android "netd".

تم تصميم هذه البرامج الضارة خصيصًا لاختراق أجهزة Android وللبحث بدقة عن المعلومات والتطبيقات المتعلقة بالجيش الأوكراني. يتم بعد ذلك إعادة توجيه جميع البيانات المكتسبة إلى خوادم مرتكب الجريمة.

لمنع تكرار الملفات المرسلة، يستخدم ملف مخفي يسمى ".google.index" تجزئة MD5 لمراقبة البيانات المرسلة. تبلغ سعة النظام 16.384 ملفًا، لذلك يمكن سحب الملفات المكررة إلى ما بعد هذا الحد.

يلقي Infamous Chisel شبكة واسعة عندما يتعلق الأمر بامتدادات الملفات، مستهدفًا قائمة واسعة بما في ذلك .dat، .bak، .xml، .txt، .ovpn، .xml، wa.db، msgstore.db، .pdf، .xlsx ، .csv، .zip، telephony.db، .png، .jpg، .jpeg، .kme، قاعدة بيانات.hik، قاعدة البيانات. ، .rar، .tar، .7zip، .zip، .kmz، locksettings.db، mmssms.db، telephony.db، signal.db، mmssms.db، Profile.db، accounts.db، PyroMsg.DB، .exe , كمل. علاوة على ذلك، فهو يقوم بمسح الذاكرة الداخلية للجهاز وأي بطاقات SD متاحة، دون ترك أي جهد في سعيه للحصول على البيانات.

يمكن للمهاجمين استخدام الإزميل سيئ السمعة للحصول على بيانات حساسة

تجري البرمجيات الخبيثة Infamous Chisel فحصًا شاملاً داخل دليل /data/ لنظام Android، بحثًا عن تطبيقات مثل Google Authenticator وOpenVPN Connect وPayPal وViber وWhatsApp وSignal وTelegram وGmail وChrome وFirefox وBrave وMicrosoft One Cloud وAndroid Contacts ، ومجموعة من الآخرين.

علاوة على ذلك، يمتلك برنامج التهديد هذا القدرة على جمع معلومات الأجهزة وإجراء عمليات فحص على الشبكة المحلية لتحديد المنافذ المفتوحة والمضيفين النشطين. يمكن للمهاجمين الوصول عن بعد من خلال SOCKS واتصال SSH، والذي يتم إعادة توجيهه من خلال مجال .ONION الذي تم إنشاؤه عشوائيًا.

ويتم استخراج الملفات وبيانات الجهاز على فترات منتظمة، وتحديدًا كل 86000 ثانية، أي ما يعادل يومًا واحدًا. تتم أنشطة المسح على الشبكة المحلية كل يومين، في حين يتم استخراج البيانات العسكرية شديدة الحساسية بشكل متكرر أكثر بكثير، على فترات زمنية تبلغ 600 ثانية (كل 10 دقائق).

علاوة على ذلك، من المقرر أن يتم تكوين وتنفيذ خدمات Tor التي تسهل الوصول عن بعد كل 6000 ثانية. للحفاظ على الاتصال بالشبكة، تقوم البرامج الضارة بإجراء عمليات فحص على مجال "geodatatoo(dot)com" كل 3 دقائق.

تجدر الإشارة إلى أن برنامج Infamous Chisel الضار لا يعطي الأولوية للتخفي؛ وبدلاً من ذلك، يبدو أنها مهتمة أكثر بكثير بالتسلل السريع للبيانات والتحرك بسرعة نحو شبكات عسكرية أكثر قيمة.