មេរោគ Chisel Mobile ដ៏អាក្រក់
ប្រតិបត្តិករអ៊ិនធឺណិតដែលមានទំនាក់ទំនងជាមួយអគ្គនាយកដ្ឋានអគ្គសេនាធិការនៃកងកម្លាំងប្រដាប់អាវុធសហព័ន្ធរុស្ស៊ី ដែលជាទូទៅហៅថា GRU បានផ្តួចផ្តើមយុទ្ធនាការគោលដៅមួយសំដៅលើឧបករណ៍ Android នៅក្នុងប្រទេសអ៊ុយក្រែន។ អាវុធនៃជម្រើសរបស់ពួកគេក្នុងការវាយលុកនេះគឺជាកញ្ចប់ឧបករណ៍គម្រាមកំហែងដែលត្រូវបានរកឃើញនាពេលថ្មីៗនេះ និងគួរឱ្យស្អប់ខ្ពើមដែលមានឈ្មោះថា 'Infamous Chisel' ។
ក្របខណ្ឌដ៏អាក្រក់នេះផ្តល់លទ្ធភាពឱ្យពួក Hacker ចូលប្រើប្រាស់ឧបករណ៍គោលដៅតាមរយៈសេវាកម្មលាក់បាំងនៅក្នុងបណ្តាញ Onion Router (Tor) ។ សេវាកម្មនេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពក្នុងការស្កេនឯកសារក្នុងតំបន់ ស្ទាក់ចាប់ចរាចរណ៍បណ្តាញ និងទាញយកទិន្នន័យរសើប។
សេវាសន្តិសុខអ៊ុយក្រែន (SSU) ដំបូងបានបន្លឺសំឡេងរោទិ៍អំពីការគំរាមកំហែងនេះ ដោយជូនដំណឹងដល់សាធារណជនអំពីកិច្ចខិតខំប្រឹងប្រែងរបស់ក្រុមលួចស្តាប់ Sandworm ក្នុងការជ្រៀតចូលប្រព័ន្ធបញ្ជាយោធាដោយប្រើមេរោគនេះ។
ក្រោយមក ទាំងមជ្ឈមណ្ឌលសន្តិសុខតាមអ៊ីនធឺណិតជាតិរបស់ចក្រភពអង់គ្លេស (NCSC) និងទីភ្នាក់ងារសន្តិសុខអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធរបស់សហរដ្ឋអាមេរិក (CISA) បានស្វែងយល់ពីទិដ្ឋភាពបច្ចេកទេសដ៏ស្មុគស្មាញនៃ Chisel Infamous ។ របាយការណ៍របស់ពួកគេបានបំភ្លឺអំពីសមត្ថភាពរបស់វា និងផ្តល់នូវការយល់ដឹងដែលមិនអាចកាត់ថ្លៃបាន ដើម្បីជំរុញវិធានការការពារប្រឆាំងនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិតនេះ។
Chisel ដ៏អាក្រក់មានជួរដ៏ធំទូលាយនៃសមត្ថភាពបង្កគ្រោះថ្នាក់
Infamous Chisel ត្រូវបានសម្របសម្រួលពីសមាសធាតុជាច្រើនដែលត្រូវបានរចនាឡើងដើម្បីបង្កើតការគ្រប់គ្រងជាប់លាប់លើឧបករណ៍ Android ដែលត្រូវបានសម្របសម្រួលតាមរយៈបណ្តាញ Tor ។ តាមកាលកំណត់ វាប្រមូល និងផ្ទេរទិន្នន័យជនរងគ្រោះពីឧបករណ៍ដែលមានមេរោគ។
នៅពេលជ្រៀតចូលឧបករណ៍ដោយជោគជ័យ សមាសធាតុកណ្តាល 'netd' សន្មត់ថាគ្រប់គ្រង និងត្រៀមខ្លួនរួចរាល់ដើម្បីអនុវត្តសំណុំនៃពាក្យបញ្ជា និងស្គ្រីបសែល។ ដើម្បីធានាបាននូវភាពស្ថិតស្ថេរយូរអង្វែង វាជំនួសប្រព័ន្ធគោលពីរប្រព័ន្ធ Android 'netd' ស្របច្បាប់។
មេរោគនេះត្រូវបានរចនាឡើងជាពិសេសដើម្បីសម្របសម្រួលឧបករណ៍ Android និងដើម្បីស្កែនដោយប្រុងប្រយ័ត្ននូវព័ត៌មាន និងកម្មវិធីដែលទាក់ទងនឹងយោធាអ៊ុយក្រែន។ ទិន្នន័យដែលទទួលបានទាំងអស់ត្រូវបានបញ្ជូនបន្តទៅម៉ាស៊ីនមេរបស់ជនល្មើស។
ដើម្បីទប់ស្កាត់ការចម្លងនៃឯកសារដែលបានផ្ញើ ឯកសារលាក់ឈ្មោះ '.google.index' ប្រើសញ្ញា MD5 ដើម្បីរក្សាផ្ទាំងនៅលើទិន្នន័យដែលបានបញ្ជូន។ សមត្ថភាពរបស់ប្រព័ន្ធគឺមានចំនួន 16,384 ឯកសារ ដូច្នេះឯកសារស្ទួនអាចនឹងត្រូវបានទាញយកលើសពីកម្រិតនេះ។
Infamous Chisel បោះសំណាញ់ធំទូលាយនៅពេលនិយាយអំពីផ្នែកបន្ថែមឯកសារ ដោយកំណត់គោលដៅបញ្ជីទូលំទូលាយរួមមាន .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .km. លើសពីនេះ វាស្កែនអង្គចងចាំខាងក្នុងរបស់ឧបករណ៍ និងកាត SD ដែលមានស្រាប់ ដោយមិនទុកថ្មចោលក្នុងដំណើរស្វែងរកទិន្នន័យរបស់វា។
អ្នកវាយប្រហារអាចប្រើ Chisel Infamous ដើម្បីទទួលបានទិន្នន័យរសើប
មេរោគ Infamous Chisel ធ្វើការស្កេនយ៉ាងទូលំទូលាយនៅក្នុង /data/ directory របស់ Android ដោយស្វែងរកកម្មវិធីដូចជា Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts និងអារេនៃអ្នកដទៃ។
លើសពីនេះទៅទៀត កម្មវិធីដែលគំរាមកំហែងនេះមានសមត្ថភាពក្នុងការប្រមូលព័ត៌មានផ្នែករឹង និងធ្វើការស្កេននៅលើបណ្តាញក្នុងតំបន់ដើម្បីកំណត់អត្តសញ្ញាណច្រកបើកចំហ និងម៉ាស៊ីនសកម្ម។ អ្នកវាយប្រហារអាចចូលប្រើពីចម្ងាយតាមរយៈ SOCKS និងការតភ្ជាប់ SSH ដែលត្រូវបានបញ្ជូនបន្តតាមរយៈដែន .ONION ដែលបង្កើតដោយចៃដន្យ។
ការដកយកឯកសារ និងទិន្នន័យឧបករណ៍កើតឡើងនៅចន្លោះពេលទៀងទាត់ យ៉ាងជាក់លាក់រៀងរាល់ 86,000 វិនាទី ដែលស្មើនឹងមួយថ្ងៃ។ សកម្មភាពស្កេន LAN កើតឡើងរៀងរាល់ពីរថ្ងៃម្តង ខណៈពេលដែលការទាញយកទិន្នន័យយោធាដែលមានភាពរសើបខ្លាំងកើតឡើងញឹកញាប់ជាងនេះ នៅចន្លោះពេល 600 វិនាទី (រៀងរាល់ 10 នាទីម្តង)។
លើសពីនេះ ការកំណត់រចនាសម្ព័ន្ធ និងការអនុវត្តសេវាកម្ម Tor ដែលជួយសម្រួលដល់ការចូលប្រើពីចម្ងាយត្រូវបានកំណត់ពេលនឹងកើតឡើងរៀងរាល់ 6,000 វិនាទី។ ដើម្បីរក្សាការភ្ជាប់បណ្តាញ មេរោគធ្វើការត្រួតពិនិត្យលើដែន 'geodatatoo(dot)com' រៀងរាល់ 3 នាទីម្តង។
វាគួរឱ្យកត់សម្គាល់ថាមេរោគ Infamous Chisel មិនផ្តល់អាទិភាពដល់ការបំបាំងកាយទេ។ ផ្ទុយទៅវិញ វាហាក់បីដូចជាមានការចាប់អារម្មណ៍ខ្លាំងលើការដកយកទិន្នន័យយ៉ាងឆាប់រហ័ស និងឆ្ពោះទៅរកបណ្តាញយោធាដ៏មានតម្លៃកាន់តែច្រើន។
