Liūdnai pagarsėjusi Chisel Mobile kenkėjiška programa

Su Rusijos Federacijos ginkluotųjų pajėgų generalinio štabo pagrindiniu direktoratu, paprastai vadinamu GRU, susiję kibernetiniai darbuotojai inicijavo tikslinę kampaniją, skirtą „Android“ įrenginiams Ukrainoje. Jų pasirinktas ginklas šiame puolime yra neseniai atrastas ir grėsmingas grėsmės įrankių rinkinys, pavadintas „Liūdnai pagarsėjusiu kaltu“.

Ši bjauri sistema suteikia įsilaužėliams užpakalinių durų prieigą prie tikslinių įrenginių naudojant paslėptą paslaugą „The Onion Router“ („Tor“) tinkle. Ši paslauga suteikia užpuolikams galimybę nuskaityti vietinius failus, perimti tinklo srautą ir išgauti neskelbtinus duomenis.

Ukrainos saugumo tarnyba (SSU) pirmiausia paskelbė pavojaus signalą apie grėsmę, įspėjusi visuomenę apie įsilaužimo grupės „Sandworm“ pastangas įsiskverbti į karines valdymo sistemas naudojant šią kenkėjišką programą.

Vėliau tiek JK nacionalinis kibernetinio saugumo centras (NCSC), tiek JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) įsigilino į sudėtingus techninius liūdnai pagarsėjusio kalto aspektus. Jų ataskaitos atskleidžia jos galimybes ir pateikia neįkainojamų įžvalgų, kaip sustiprinti gynybos priemones nuo šios kibernetinės grėsmės.

Liūdnai pagarsėjęs kaltas gali pasigirti daugybe žalingų savybių

Liūdnai pagarsėjęs kaltas yra pažeistas iš kelių komponentų, skirtų nuolatiniam pažeistų „Android“ įrenginių valdymui per „Tor“ tinklą. Periodiškai ji renka ir perduoda aukų duomenis iš užkrėstų įrenginių.

Sėkmingai įsiskverbus į įrenginį, centrinis komponentas „netd“ perima valdymą ir yra pasirengęs atlikti komandų ir apvalkalo scenarijų rinkinį. Siekiant užtikrinti ilgalaikį atkaklumą, jis išstumia teisėtą „netd“ Android sistemos dvejetainį failą.

Ši kenkėjiška programa yra specialiai sukurta siekiant pažeisti „Android“ įrenginius ir kruopščiai ieškoti informacijos ir programų, susijusių su Ukrainos kariuomene. Tada visi gauti duomenys persiunčiami į kaltininko serverius.

Kad būtų išvengta išsiųstų failų dubliavimo, paslėptame faile, pavadintame „.google.index“, naudojama MD5 maiša, kad būtų galima stebėti perduodamus duomenis. Sistemos talpa yra apribota iki 16 384 failų, todėl dublikatai gali būti išfiltruoti viršijant šią ribą.

Liūdnai pagarsėjęs kaltas meta platų tinklą, kai kalbama apie failų plėtinius, taikydamas į platų sąrašą, įskaitant .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Be to, jis nuskaito įrenginio vidinę atmintį ir visas turimas SD korteles, nepalikdamas jokių akmenų ieškant duomenų.

Užpuolikai gali naudoti liūdnai pagarsėjusį kaltą, kad gautų neskelbtinus duomenis

Liūdnai pagarsėjusi Chisel kenkėjiška programa atlieka išsamų „Android“ /duomenų/ katalogo nuskaitymą, ieškodama tokių programų kaip „Google Authenticator“, „OpenVPN Connect“, „PayPal“, „Viber“, „WhatsApp“, „Signal“, „Telegram“, „Gmail“, „Chrome“, „Firefox“, „Brave“, „Microsoft One Cloud“, „Android Contacts“. , ir daugybė kitų.

Be to, ši grėsminga programinė įranga turi galimybę rinkti informaciją apie aparatinę įrangą ir atlikti nuskaitymą vietiniame tinkle, siekiant nustatyti atvirus prievadus ir aktyvius pagrindinius kompiuterius. Užpuolikai gali gauti nuotolinę prieigą per SOCKS ir SSH ryšį, kuris peradresuojamas per atsitiktinai sugeneruotą .ONION domeną.

Failų ir įrenginio duomenų išfiltravimas vyksta reguliariais intervalais, tiksliai kas 86 000 sekundžių, tai atitinka vieną dieną. LAN skenavimo veikla vyksta kas dvi dienas, o itin jautrūs kariniai duomenys išgaunami kur kas dažniau, 600 sekundžių intervalais (kas 10 minučių).

Be to, „Tor“ paslaugų, palengvinančių nuotolinę prieigą, konfigūravimas ir vykdymas numatomas kas 6000 sekundžių. Kad būtų palaikomas tinklo ryšys, kenkėjiška programa kas 3 minutes tikrina „geodatatoo(dot)com“ domeną.

Verta paminėti, kad „Liūdnai pagarsėjusio Chisel“ kenkėjiška programa neteikia pirmenybės slaptumui; Vietoj to, atrodo, kad ją daug labiau domina greitas duomenų išfiltravimas ir greitas judėjimas prie vertingesnių karinių tinklų.