תוכנה זדונית ניידת ידועה לשמצה

פעילי סייבר המזוהים עם המנהלת הראשית של המטה הכללי של הכוחות המזוינים של הפדרציה הרוסית, המכונה בדרך כלל GRU, יזמו קמפיין ממוקד המכוון למכשירי אנדרואיד באוקראינה. הנשק המועדף שלהם בהתקפה זו הוא ערכת כלים מאיימת שהתגלתה לאחרונה ומבשרת רעות המכונה 'אזמל הידוע לשמצה'.

המסגרת הנבזית הזו מעניקה להאקרים גישה מהדלת האחורית למכשירים הממוקדים באמצעות שירות נסתר ברשת The Onion Router (Tor). שירות זה מעניק לתוקפים את היכולת לסרוק קבצים מקומיים, ליירט תעבורת רשת ולחלץ נתונים רגישים.

שירות הביטחון האוקראיני (SSU) השמיע לראשונה אזעקה לגבי האיום, והתריע בפני הציבור על מאמצי קבוצת הפריצה של תולעי חול לחדור למערכות פיקוד צבאיות באמצעות תוכנה זדונית זו.

לאחר מכן, הן המרכז הלאומי לאבטחת סייבר בבריטניה (NCSC) והן הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) התעמקו בהיבטים הטכניים המורכבים של האזמל הידוע לשמצה. הדוחות שלהם שופכים אור על היכולות שלו ומספקים תובנות שלא יסולא בפז כדי לחזק את אמצעי ההגנה מפני איום הסייבר הזה.

האזמל הידוע לשמצה מתהדר במגוון רחב של יכולות מזיקות

האזמל הידוע לשמצה נפגע מכמה רכיבים שנועדו לבסס שליטה מתמשכת על מכשירי אנדרואיד שנפגעו דרך רשת Tor. מעת לעת, הוא אוסף ומעביר נתוני קורבנות מהמכשירים הנגועים.

עם חדירת מוצלחת למכשיר, הרכיב המרכזי, 'netd', מקבל את השליטה והוא מוכן לבצע קבוצה של פקודות ותסריטי מעטפת. כדי להבטיח התמדה מתמשכת, הוא מחליף את הבינארי הלגיטימי של מערכת Android 'netd'.

תוכנה זדונית זו תוכננה במיוחד כדי לסכן מכשירי אנדרואיד ולסרוק בקפדנות אחר מידע ויישומים הנוגעים לצבא האוקראיני. כל הנתונים שנרכשו מועברים לאחר מכן לשרתים של העבריין.

כדי למנוע שכפול של קבצים שנשלחו, קובץ סמוי בשם '.google.index' משתמש ב-hash MD5 כדי לעקוב אחר הנתונים המועברים. קיבולת המערכת מוגבלת ל-16,384 קבצים, כך שכפולים עלולים להיחלץ מעבר לסף זה.

האזמל לשמצה משליך רשת רחבה בכל הנוגע להרחבות קבצים, ומכוון לרשימה נרחבת הכוללת .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. יתר על כן, הוא סורק את הזיכרון הפנימי של המכשיר ואת כל כרטיסי ה-SD הזמינים, ולא משאיר אבן על כנה בחיפוש אחר נתונים.

תוקפים יכולים להשתמש באיזמל הידוע לשמצה כדי להשיג נתונים רגישים

התוכנה הזדונית הידועה של אזמל מבצעת סריקה מקיפה בתוך ספריית /data/ של אנדרואיד, ומחפשת יישומים כגון Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , ומערך של אחרים.

יתרה מכך, לתוכנה המאיימת הזו יש את היכולת לאסוף מידע חומרה ולבצע סריקות ברשת המקומית כדי לזהות יציאות פתוחות ומארחים פעילים. תוקפים יכולים לקבל גישה מרחוק דרך SOCKS וחיבור SSH, אשר מנותב מחדש דרך דומיין ONION שנוצר באקראי.

הגלישה של קבצים ונתוני מכשירים מתרחשת במרווחי זמן קבועים, בדיוק כל 86,000 שניות, שווה ערך ליום אחד. פעילויות סריקת LAN מתרחשות כל יומיים, בעוד שליפת נתונים צבאיים רגישים ביותר מתבצעת בתדירות גבוהה בהרבה, במרווחים של 600 שניות (כל 10 דקות).

יתר על כן, התצורה והביצוע של שירותי Tor המאפשרים גישה מרחוק מתוכננים להתרחש כל 6,000 שניות. כדי לשמור על קישוריות רשת, התוכנה הזדונית מבצעת בדיקות בדומיין 'geodatatoo(dot)com' כל 3 דקות.

ראוי לציין שהתוכנה הזדונית השמצה אזמל אינה נותנת עדיפות להתגנבות; במקום זאת, נראה שהוא מתעניין הרבה יותר בסילנת נתונים מהירה ובמעבר מהיר לעבר רשתות צבאיות בעלות ערך רב יותר.