कुख्यात Chisel मोबाइल मालवेयर

रूसी संघ सशस्त्र बल को सामान्य कर्मचारी को मुख्य निर्देशनालय संग सम्बद्ध साइबर अपरेटिभहरु, सामान्यतया GRU भनेर चिनिन्छ, युक्रेन भित्र एन्ड्रोइड उपकरणहरु लाई लक्षित एक लक्षित अभियान सुरु गरेको छ। यस आक्रमणमा तिनीहरूको रोजाइको हतियार हालै पत्ता लागेको र अशुभ धम्की दिने टुलकिट हो जसलाई 'कुख्यात चिसेल' भनिन्छ।

यो खराब फ्रेमवर्कले ह्याकरहरूलाई ओनियन राउटर (टोर) नेटवर्क भित्र लुकाइएको सेवा मार्फत लक्षित उपकरणहरूमा ब्याकडोर पहुँच प्रदान गर्दछ। यो सेवाले आक्रमणकारीहरूलाई स्थानीय फाइलहरू स्क्यान गर्ने, नेटवर्क ट्राफिक रोक्ने र संवेदनशील डाटा निकाल्ने क्षमता प्रदान गर्छ।

युक्रेनी सेक्युरिटी सर्भिस (SSU) ले पहिलो पटक खतराको बारेमा अलार्म बज्यो, यो मालवेयर प्रयोग गरेर सैन्य कमाण्ड प्रणालीहरूमा घुसपैठ गर्न स्यान्डवर्म ह्याकिङ समूहको प्रयासमा जनतालाई सचेत गराउँदै।

त्यसपछि, युके नेशनल साइबर सेक्युरिटी सेन्टर (NCSC) र युएस साइबरसेक्युरिटी एण्ड इन्फ्रास्ट्रक्चर सेक्युरिटी एजेन्सी (CISA) दुबैले कुख्यात चिसेलको जटिल प्राविधिक पक्षहरूको खोजी गरेका छन्। तिनीहरूको रिपोर्टहरूले यसको क्षमताहरूमा प्रकाश पार्छ र यस साइबर खतरा विरुद्ध रक्षा उपायहरूलाई बलियो बनाउन अमूल्य अन्तर्दृष्टिहरू प्रस्तुत गर्दछ।

कुख्यात चिसेलले हानिकारक क्षमताहरूको फराकिलो दायराको गर्व गर्दछ

कुख्यात चिसेल टोर नेटवर्क मार्फत सम्झौता गरिएका एन्ड्रोइड उपकरणहरूमा निरन्तर नियन्त्रण स्थापना गर्न डिजाइन गरिएका धेरै कम्पोनेन्टहरूसँग सम्झौता गरिएको छ। आवधिक रूपमा, यसले संक्रमित यन्त्रहरूबाट पीडित डेटा सङ्कलन र स्थानान्तरण गर्दछ।

यन्त्रलाई सफलतापूर्वक घुसपैठ गर्दा, केन्द्रीय कम्पोनेन्ट, 'netd,' ले नियन्त्रण लिन्छ र आदेश र शेल लिपिहरूको सेट प्रदर्शन गर्न तयार हुन्छ। स्थायी दृढता सुनिश्चित गर्न, यसले वैध 'netd' एन्ड्रोइड प्रणाली बाइनरी प्रतिस्थापन गर्दछ।

यो मालवेयर विशेष गरी एन्ड्रोइड उपकरणहरूमा सम्झौता गर्न र युक्रेनी सेनासँग सम्बन्धित जानकारी र अनुप्रयोगहरूको लागि सावधानीपूर्वक स्क्यान गर्न डिजाइन गरिएको हो। सबै प्राप्त डाटा त्यसपछि अपराधीको सर्भरमा फर्वार्ड गरिन्छ।

पठाइएका फाइलहरूको नक्कल हुनबाट रोक्नको लागि, '.google.index' नामक लुकाइएको फाइलले ट्रान्समिटेड डाटामा ट्याबहरू राख्न MD5 ह्यासहरू प्रयोग गर्छ। प्रणालीको क्षमता 16,384 फाइलहरूमा क्याप गरिएको छ, त्यसैले डुप्लिकेटहरू यस थ्रेसहोल्डभन्दा बाहिर निकाल्न सकिन्छ।

.dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx लगायतका विस्तृत सूचीलाई लक्षित गर्दै फाइल एक्सटेन्सनको कुरा गर्दा कुख्यात चिसेलले फराकिलो नेट राख्छ। , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml। यसबाहेक, यसले यन्त्रको आन्तरिक मेमोरी र कुनै पनि उपलब्ध SD कार्डहरू स्क्यान गर्दछ, डेटाको खोजीमा कुनै कसर बाँकी राख्दैन।

आक्रमणकारीहरूले संवेदनशील डाटा प्राप्त गर्न कुख्यात चिसेल प्रयोग गर्न सक्छन्

कुख्यात चिसेल मालवेयरले Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts जस्ता एपहरू खोज्दै एन्ड्रोइडको /data/ डाइरेक्टरी भित्र व्यापक स्क्यान गर्छ। , र अरूको एर्रे।

यसबाहेक, यो धम्की दिने सफ्टवेयरसँग हार्डवेयर जानकारी सङ्कलन गर्ने र स्थानीय क्षेत्र नेटवर्कमा खुला पोर्टहरू र सक्रिय होस्टहरू पहिचान गर्न स्क्यान गर्ने क्षमता छ। आक्रमणकारीहरूले SOCKS र SSH जडान मार्फत रिमोट पहुँच प्राप्त गर्न सक्छन्, जुन अनियमित रूपमा उत्पन्न .ONION डोमेन मार्फत पुन: रूट गरिएको छ।

फाइलहरू र उपकरण डेटाको एक्सफिल्ट्रेसन नियमित अन्तरालहरूमा हुन्छ, ठीक प्रत्येक 86,000 सेकेन्डमा, एक दिनको बराबर। LAN स्क्यानिङ गतिविधिहरू प्रत्येक दुई दिनमा ट्रान्सपायर हुन्छन्, जबकि अत्यधिक संवेदनशील सैन्य डेटाको निकासी 600 सेकेन्ड (हरेक 10 मिनेट) को अन्तरालमा धेरै पटक हुन्छ।

यसबाहेक, टोर सेवाहरूको कन्फिगरेसन र कार्यान्वयन जसले टाढाको पहुँचलाई सुविधा दिन्छ, प्रत्येक 6,000 सेकेन्डमा हुने तालिका छ। नेटवर्क जडान कायम राख्न, मालवेयरले प्रत्येक ३ मिनेटमा 'geodatatoo(dot)com' डोमेनमा जाँच गर्छ।

यो नोट गर्न लायक छ कि कुख्यात चिसेल मालवेयरले चोरीलाई प्राथमिकता दिदैन; यसको सट्टा, यो द्रुत डेटा निष्कासनमा र द्रुत रूपमा अधिक मूल्यवान सैन्य सञ्जालहरू तिर सर्ने धेरै चासो देखिन्छ।