Bēdīgi slavenā Chisel Mobile ļaunprogrammatūra

Kiberdarbinieki, kas ir saistīti ar Krievijas Federācijas Bruņoto spēku Ģenerālštāba galveno direktorātu, ko parasti dēvē par GRU, ir uzsākuši mērķtiecīgu kampaņu, kas vērsta uz Android ierīcēm Ukrainā. Viņu izvēlētais ierocis šajā ofensīvā ir nesen atklāts un draudīgs draudu rīku komplekts, kas nodēvēts par "bēdīgi slaveno kaltu".

Šis nepatīkamais ietvars nodrošina hakeriem aizmugures piekļuvi mērķa ierīcēm, izmantojot slēptu pakalpojumu The Onion Router (Tor) tīklā. Šis pakalpojums sniedz uzbrucējiem iespēju skenēt vietējos failus, pārtvert tīkla trafiku un iegūt sensitīvus datus.

Ukrainas Drošības dienests (SSU) vispirms izsauca trauksmi par draudiem, brīdinot sabiedrību par Sandworm hakeru grupas centieniem iefiltrēties militārajās vadības sistēmās, izmantojot šo ļaunprogrammatūru.

Pēc tam gan Apvienotās Karalistes Nacionālais kiberdrošības centrs (NCSC), gan ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA) ir iedziļinājušies bēdīgi slavenā kalta sarežģītajos tehniskajos aspektos. Viņu ziņojumi atklāj tā iespējas un sniedz nenovērtējamu ieskatu, lai stiprinātu aizsardzības pasākumus pret šiem kiberdraudiem.

Bēdīgi slavenais kalts lepojas ar plašu kaitīgo spēju klāstu

Bēdīgi slavenais kalts ir apdraudēts no vairākiem komponentiem, kas izstrādāti, lai ar Tor tīkla starpniecību nodrošinātu pastāvīgu kontroli pār apdraudētajām Android ierīcēm. Periodiski tas apkopo un pārsūta upuru datus no inficētajām ierīcēm.

Veiksmīgi iefiltrējoties ierīcē, centrālais komponents 'netd' pārņem vadību un ir gatavs izpildīt komandu un čaulas skriptu kopu. Lai nodrošinātu ilgstošu noturību, tas aizstāj likumīgo "netd" Android sistēmas bināro failu.

Šī ļaunprātīgā programmatūra ir īpaši izstrādāta, lai apdraudētu Android ierīces un rūpīgi meklētu informāciju un lietojumprogrammas, kas attiecas uz Ukrainas armiju. Pēc tam visi iegūtie dati tiek pārsūtīti uz vainīgā serveriem.

Lai novērstu nosūtīto failu dublēšanos, slēptā failā ar nosaukumu “.google.index” tiek izmantota MD5 jaukšana, lai kontrolētu pārsūtītos datus. Sistēmas jauda ir ierobežota līdz 16 384 failiem, tāpēc dublikātus var izfiltrēt, pārsniedzot šo slieksni.

Bēdīgi slavenais kalts rada plašu tīklu, kad runa ir par failu paplašinājumiem, mērķējot uz plašu sarakstu, tostarp .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx. , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonija.db, signāls.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Turklāt tas skenē ierīces iekšējo atmiņu un visas pieejamās SD kartes, neatstājot nevienu akmeni neapgrieztu datu meklējumos.

Uzbrucēji var izmantot bēdīgi slaveno kaltu, lai iegūtu sensitīvus datus

Bēdīgi slavenā Chisel ļaunprogrammatūra veic visaptverošu skenēšanu Android /data/ direktorijā, meklējot tādas lietojumprogrammas kā Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. , un virkne citu.

Turklāt šai draudīgajai programmatūrai ir iespēja apkopot aparatūras informāciju un veikt skenēšanu lokālajā tīklā, lai identificētu atvērtos portus un aktīvos saimniekdatorus. Uzbrucēji var iegūt attālo piekļuvi, izmantojot SOCKS un SSH savienojumu, kas tiek novirzīts caur nejauši ģenerētu .ONION domēnu.

Failu un ierīces datu izfiltrēšana notiek ar regulāriem intervāliem, precīzi ik pēc 86 000 sekundēm, kas atbilst vienai dienai. LAN skenēšanas darbības notiek ik pēc divām dienām, savukārt ļoti sensitīvu militāro datu iegūšana notiek daudz biežāk, ik pēc 600 sekundēm (ik pēc 10 minūtēm).

Turklāt ir plānots, ka Tor pakalpojumu konfigurēšana un izpilde, kas atvieglo attālo piekļuvi, notiks ik pēc 6000 sekundēm. Lai uzturētu tīkla savienojumu, ļaunprogrammatūra veic domēna “geodatatoo(dot)com” pārbaudes ik pēc 3 minūtēm.

Ir vērts atzīmēt, ka bēdīgi slavenā Chisel ļaunprogrammatūra nepiešķir prioritāti slepenībai; tā vietā šķiet, ka to daudz vairāk interesē ātra datu izfiltrēšana un ātra virzība uz vērtīgākiem militāriem tīkliem.