Perisian Mudah Alih Pahat Yang Terkenal
Koperasi siber yang bergabung dengan Direktorat Utama Staf Am Angkatan Bersenjata Persekutuan Rusia, yang biasanya dirujuk sebagai GRU, telah memulakan kempen yang disasarkan untuk peranti Android di Ukraine. Senjata pilihan mereka dalam serangan ini ialah kit alat mengancam yang baru ditemui dan dijuluki 'Pahat Terkenal.'
Rangka kerja jahat ini memberikan akses pintu belakang penggodam kepada peranti yang disasarkan melalui perkhidmatan tersembunyi dalam rangkaian The Onion Router (Tor). Perkhidmatan ini memberikan penyerang keupayaan untuk mengimbas fail tempatan, memintas trafik rangkaian dan mengekstrak data sensitif.
Perkhidmatan Keselamatan Ukraine (SSU) mula-mula membunyikan penggera tentang ancaman itu, menyedarkan orang ramai tentang usaha kumpulan penggodam Sandworm untuk menyusup ke sistem perintah tentera menggunakan perisian hasad ini.
Selepas itu, Pusat Keselamatan Siber Kebangsaan UK (NCSC) dan Agensi Keselamatan Siber dan Infrastruktur AS (CISA) telah menyelidiki aspek teknikal rumit Pahat Terkenal. Laporan mereka memberi penerangan tentang keupayaannya dan memberikan pandangan yang tidak ternilai untuk memperkukuh langkah pertahanan terhadap ancaman siber ini.
Pahat Infamous Mempunyai Pelbagai Keupayaan Memudaratkan
Pahat Infamous dikompromi daripada beberapa komponen yang direka untuk mewujudkan kawalan berterusan ke atas peranti Android yang terjejas melalui rangkaian Tor. Secara berkala, ia mengumpul dan memindahkan data mangsa daripada peranti yang dijangkiti.
Setelah berjaya menyusup peranti, komponen pusat, 'netd,' mengambil alih kawalan dan bersedia untuk melaksanakan satu set arahan dan skrip shell. Untuk memastikan kegigihan yang berkekalan, ia menggantikan perduaan sistem Android 'netd' yang sah.
Malware ini direka khusus untuk menjejaskan peranti Android dan mengimbas maklumat dan aplikasi yang berkaitan dengan tentera Ukraine dengan teliti. Semua data yang diperoleh kemudiannya dimajukan ke pelayan pelaku.
Untuk mengelakkan pertindihan fail yang dihantar, fail tersembunyi bernama '.google.index' menggunakan cincangan MD5 untuk mengawasi data yang dihantar. Kapasiti sistem dihadkan pada 16,384 fail, jadi pendua boleh dieksfiltrasi melebihi ambang ini.
The Infamous Chisel memberikan jaringan yang luas apabila ia berkaitan dengan sambungan fail, menyasarkan senarai yang luas termasuk .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Tambahan pula, ia mengimbas memori dalaman peranti dan mana-mana kad SD yang tersedia, tidak meninggalkan sebarang masalah dalam usahanya untuk mendapatkan data.
Penyerang boleh Menggunakan Pahat Keji untuk Mendapatkan Data Sensitif
Malware Chisel Infamous menjalankan imbasan menyeluruh dalam direktori /data/ Android, mencari aplikasi seperti Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Kenalan Android , dan pelbagai lagi.
Selain itu, perisian yang mengancam ini mempunyai keupayaan untuk mengumpul maklumat perkakasan dan melakukan imbasan pada rangkaian kawasan setempat untuk mengenal pasti port terbuka dan hos aktif. Penyerang boleh mendapatkan akses jauh melalui SOCKS dan sambungan SSH, yang dihalakan semula melalui domain .ONION yang dijana secara rawak.
Penyingkiran fail dan data peranti berlaku pada selang masa yang tetap, tepatnya setiap 86,000 saat, bersamaan dengan satu hari. Aktiviti pengimbasan LAN berlaku setiap dua hari, manakala pengekstrakan data ketenteraan yang sangat sensitif berlaku jauh lebih kerap, pada selang 600 saat (setiap 10 minit).
Tambahan pula, konfigurasi dan pelaksanaan perkhidmatan Tor yang memudahkan akses jauh dijadualkan berlaku setiap 6,000 saat. Untuk mengekalkan ketersambungan rangkaian, perisian hasad melakukan semakan pada domain 'geodatatoo(dot)com' setiap 3 minit.
Perlu diingat bahawa perisian hasad Infamous Chisel tidak mengutamakan kesembunyian; sebaliknya, nampaknya jauh lebih berminat dengan penyingkiran data pantas dan bergerak pantas ke arah rangkaian ketenteraan yang lebih berharga.
