Surullisen Chisel Mobile -haittaohjelma

Venäjän federaation puolustusvoimien pääesikunnan pääosastoon (yleisesti kutsuttu GRU:hun) liittyvät kyberoperaattorit ovat käynnistäneet Ukrainan Android-laitteisiin kohdistetun kampanjan. Heidän aseensa tässä hyökkäyksessä on äskettäin löydetty ja pahaenteinen uhkaava työkalusarja, jota kutsutaan nimellä "Suurellisen taltta".

Tämä ilkeä kehys antaa hakkereille takaoven pääsyn kohdelaitteisiin The Onion Router (Tor) -verkon piilopalvelun kautta. Tämä palvelu antaa hyökkääjille mahdollisuuden tarkistaa paikallisia tiedostoja, siepata verkkoliikennettä ja poimia arkaluonteisia tietoja.

Ukrainan turvallisuuspalvelu (SSU) hälytti ensin uhasta ja varoitti yleisöä Sandworm-hakkerointiryhmän pyrkimyksistä tunkeutua sotilaallisiin komentojärjestelmiin käyttämällä tätä haittaohjelmaa.

Myöhemmin sekä Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) että Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) ovat perehtyneet surullisen taltan monimutkaisiin teknisiin näkökohtiin. Heidän raportit valaisevat sen kykyjä ja tarjoavat korvaamattomia oivalluksia puolustustoimien vahvistamiseksi tätä kyberuhkaa vastaan.

Surullisen taltta tarjoaa laajan valikoiman haitallisia ominaisuuksia

Infamous Chisel on vaarantunut useista komponenteista, jotka on suunniteltu luomaan jatkuva hallinta vaarantuneiden Android-laitteiden yli Tor-verkon kautta. Se kerää ja siirtää ajoittain uhrien tietoja tartunnan saaneilta laitteilta.

Kun laitteeseen tunkeutuu onnistuneesti, keskuskomponentti "netd" ottaa hallinnan ja on valmis suorittamaan joukon komentoja ja komentosarjoja. Kestävän pysyvyyden varmistamiseksi se syrjäyttää laillisen "netd" Android-järjestelmäbinaarin.

Tämä haittaohjelma on suunniteltu erityisesti vaarantamaan Android-laitteita ja etsimään huolellisesti Ukrainan armeijaan liittyviä tietoja ja sovelluksia. Kaikki hankitut tiedot välitetään sitten tekijän palvelimille.

Lähetettyjen tiedostojen päällekkäisyyden estämiseksi piilotettu tiedosto nimeltä ".google.index" käyttää MD5-tiivistettä, joka pitää välilehdet lähetetyistä tiedoista. Järjestelmän kapasiteetti on rajoitettu 16 384 tiedostoon, joten kaksoiskappaleet voidaan poistaa tämän kynnyksen yli.

Infamous Chisel luo laajan verkon tiedostopäätteiden suhteen, ja se kohdistuu laajaan luetteloon, mukaan lukien .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, tietokanta.hik, tietokanta.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Lisäksi se skannaa laitteen sisäisen muistin ja kaikki käytettävissä olevat SD-kortit, eivätkä jätä kiveä kääntämättä sen tiedonhakuun.

Hyökkääjät voivat käyttää surullisen talttaa saadakseen arkaluonteisia tietoja

Infamous Chisel -haittaohjelma suorittaa kattavan tarkistuksen Androidin /data/-hakemistosta ja etsii sovelluksia, kuten Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. , ja joukko muita.

Lisäksi tällä uhkaavalla ohjelmistolla on kyky kerätä laitteistotietoja ja suorittaa tarkistuksia lähiverkossa avointen porttien ja aktiivisten isäntien tunnistamiseksi. Hyökkääjät voivat saada etäkäytön SOCKS:n ja SSH-yhteyden kautta, joka reititetään uudelleen satunnaisesti luodun .ONION-verkkotunnuksen kautta.

Tiedostojen ja laitetietojen suodatus tapahtuu säännöllisin väliajoin, täsmälleen 86 000 sekunnin välein, mikä vastaa yhtä päivää. LAN-skannaus tapahtuu kahden päivän välein, kun taas erittäin arkaluontoista sotilaallista dataa poimitaan paljon useammin, 600 sekunnin välein (10 minuutin välein).

Lisäksi etäkäyttöä mahdollistavien Tor-palvelujen konfigurointi ja suorittaminen on ajoitettu tapahtuvaksi 6 000 sekunnin välein. Verkkoyhteyden ylläpitämiseksi haittaohjelma tarkistaa 'geodatatoo(dot)com' -verkkotunnuksen 3 minuutin välein.

On syytä huomata, että Infamous Chisel -haittaohjelma ei aseta etusijalle vaikeutta; Sen sijaan se näyttää olevan paljon kiinnostuneempi nopeasta tietojen suodattamisesta ja siirtymisestä nopeasti kohti arvokkaampia sotilaallisia verkkoja.