بدافزار بدنام Chisel Mobile

عوامل سایبری وابسته به اداره اصلی ستاد کل نیروهای مسلح فدراسیون روسیه، که معمولاً GRU نامیده می شود، کمپین هدفمندی را با هدف دستگاه های اندرویدی در اوکراین آغاز کرده اند. سلاح منتخب آنها در این حمله یک ابزار تهدیدآمیز شوم است که اخیراً کشف شده و "اسکنه بدنام" نام دارد.

این چارچوب نامطلوب به هکرها امکان دسترسی درب پشتی به دستگاه های مورد نظر را از طریق یک سرویس مخفی در شبکه The Onion Router (Tor) می دهد. این سرویس به مهاجمان توانایی اسکن فایل های محلی، رهگیری ترافیک شبکه و استخراج داده های حساس را می دهد.

سرویس امنیت اوکراین (SSU) ابتدا زنگ خطر را به صدا درآورد و مردم را از تلاش های گروه هکر Sandworm برای نفوذ به سیستم های فرماندهی نظامی با استفاده از این بدافزار آگاه کرد.

پس از آن، مرکز ملی امنیت سایبری بریتانیا (NCSC) و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به جنبه های فنی پیچیده Infamous Chisel پرداخته اند. گزارش‌های آنها توانایی‌های آن را روشن می‌کند و بینش‌های ارزشمندی را برای تقویت اقدامات دفاعی در برابر این تهدید سایبری ارائه می‌کند.

اسکنه بدنام دارای طیف گسترده ای از قابلیت های مضر است

Infamous Chisel از چندین مؤلفه تشکیل شده است که برای ایجاد کنترل دائمی بر دستگاه‌های اندرویدی آسیب‌دیده از طریق شبکه Tor طراحی شده‌اند. به صورت دوره ای، داده های قربانی را از دستگاه های آلوده جمع آوری و انتقال می دهد.

پس از نفوذ موفقیت آمیز به یک دستگاه، مؤلفه مرکزی «netd» کنترل را به عهده می گیرد و آماده اجرای مجموعه ای از دستورات و اسکریپت های پوسته است. برای اطمینان از ماندگاری پایدار، جایگزین باینری سیستم Android قانونی «netd» می شود.

این بدافزار به‌طور خاص برای به خطر انداختن دستگاه‌های Android و اسکن دقیق اطلاعات و برنامه‌های مربوط به ارتش اوکراین طراحی شده است. سپس تمام داده های به دست آمده به سرورهای مجرم ارسال می شود.

برای جلوگیری از تکراری شدن فایل‌های ارسالی، یک فایل مخفی به نام '.google.index' از هش‌های MD5 برای نگه داشتن برگه‌ها در داده‌های ارسال شده استفاده می‌کند. ظرفیت سیستم به 16384 فایل محدود شده است، بنابراین موارد تکراری می توانند فراتر از این آستانه استخراج شوند.

Infamous Chisel شبکه گسترده ای را در مورد پسوند فایل ایجاد می کند و لیست گسترده ای از جمله .dat، .bak، .xml، .txt، .ovpn، .xml، wa.db، msgstore.db، .pdf، .xlsx را هدف قرار می دهد. , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe ، .kml. علاوه بر این، حافظه داخلی دستگاه و هر کارت SD موجود را اسکن می‌کند و در جستجوی داده‌ها سنگ تمام نمی‌گذارد.

مهاجمان می توانند از اسکنه بدنام برای به دست آوردن داده های حساس استفاده کنند

بدافزار Infamous Chisel یک اسکن جامع را در فهرست /data/ اندروید انجام می‌دهد و برنامه‌هایی مانند Google Authenticator، OpenVPN Connect، PayPal، Viber، WhatsApp، سیگنال، تلگرام، Gmail، Chrome، Firefox، Brave، Microsoft One Cloud، Android Contacts را جستجو می‌کند. ، و مجموعه ای از موارد دیگر.

علاوه بر این، این نرم افزار تهدید کننده توانایی جمع آوری اطلاعات سخت افزاری و انجام اسکن در شبکه محلی را برای شناسایی پورت های باز و میزبان های فعال دارد. مهاجمان می‌توانند از طریق SOCKS و یک اتصال SSH، که از طریق یک دامنه .ONION که به‌طور تصادفی ایجاد می‌شود، مجدداً مسیریابی می‌شوند، از راه دور دسترسی پیدا کنند.

حذف فایل‌ها و داده‌های دستگاه در فواصل زمانی منظم، دقیقاً هر 86000 ثانیه، معادل یک روز اتفاق می‌افتد. فعالیت‌های اسکن LAN هر دو روز یکبار اتفاق می‌افتد، در حالی که استخراج داده‌های نظامی بسیار حساس به مراتب بیشتر و در فواصل زمانی 600 ثانیه (هر 10 دقیقه) انجام می‌شود.

علاوه بر این، پیکربندی و اجرای سرویس‌های Tor که دسترسی از راه دور را تسهیل می‌کنند، هر 6000 ثانیه برنامه‌ریزی شده است. برای حفظ اتصال به شبکه، بدافزار هر 3 دقیقه یک بار دامنه "geodatatoo(dot)com" را بررسی می کند.

شایان ذکر است که بدافزار Infamous Chisel مخفی بودن را در اولویت قرار نمی دهد. درعوض، به نظر می‌رسد که علاقه بیشتری به استخراج سریع داده‌ها و حرکت سریع به سمت شبکه‌های نظامی ارزشمندتر دارد.