Печально известное мобильное вредоносное ПО Chisel

Кибероперативники, связанные с Главным управлением Генерального штаба Вооруженных Сил Российской Федерации, обычно называемым ГРУ, инициировали таргетированную кампанию, направленную на Android-устройства на территории Украины. Их любимым оружием в этом наступлении является недавно обнаруженный зловещий набор инструментов, получивший название «Печально известное долото».

Эта отвратительная структура предоставляет хакерам черный доступ к целевым устройствам через скрытую службу в сети The Onion Router (Tor). Эта служба предоставляет злоумышленникам возможность сканировать локальные файлы, перехватывать сетевой трафик и извлекать конфиденциальные данные.

Служба безопасности Украины (СБУ) первой забила тревогу по поводу угрозы, предупредив общественность о попытках хакерской группы Sandworm проникнуть в системы военного управления с помощью этого вредоносного ПО.

После этого Национальный центр кибербезопасности Великобритании (NCSC) и Агентство кибербезопасности и безопасности инфраструктуры США (CISA) углубились в сложные технические аспекты «Печально известного долота». Их отчеты проливают свет на его возможности и предоставляют бесценную информацию для усиления мер защиты от этой киберугрозы.

Печально известное долото может похвастаться широким спектром вредных возможностей

Infamous Chisel состоит из нескольких компонентов, предназначенных для обеспечения постоянного контроля над зараженными Android-устройствами через сеть Tor. Периодически он собирает и передает данные жертвы с зараженных устройств.

После успешного проникновения на устройство центральный компонент netd берет на себя управление и готов выполнить набор команд и сценариев оболочки. Чтобы обеспечить длительное сохранение, он заменяет законный системный двоичный файл netd Android.

Это вредоносное ПО специально разработано для компрометации Android-устройств и тщательного сканирования информации и приложений, имеющих отношение к украинской армии. Все полученные данные затем передаются на серверы злоумышленника.

Чтобы предотвратить дублирование отправленных файлов, скрытый файл с именем «.google.index» использует хеши MD5 для отслеживания передаваемых данных. Емкость системы ограничена 16 384 файлами, поэтому дубликаты могут быть удалены за пределы этого порога.

Когда дело доходит до расширений файлов, The Infamous Chisel забрасывает широкую сеть, ориентируясь на обширный список, включая .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx. , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, база данных.хик, база данных.хик-журнал, ezvizlog.db, кэш4.дб, контакты2.дб, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, Profile.db, account.db, PyroMsg.DB, .exe , .кмл. Кроме того, он сканирует внутреннюю память устройства и все доступные SD-карты, не оставляя камня на камне в поисках данных.

Злоумышленники могут использовать печально известное долото для получения конфиденциальных данных

Вредоносная программа Infamous Chisel проводит комплексное сканирование каталога /data/ Android в поисках таких приложений, как Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. и множество других.

Более того, это угрожающее программное обеспечение обладает способностью собирать информацию об оборудовании и выполнять сканирование локальной сети для выявления открытых портов и активных хостов. Злоумышленники могут получить удаленный доступ через SOCKS и SSH-соединение, которое перенаправляется через случайно сгенерированный домен .ONION.

Эксфильтрация файлов и данных устройства происходит через регулярные промежутки времени, ровно каждые 86 000 секунд, что эквивалентно одному дню. Сканирование локальной сети происходит каждые два дня, тогда как извлечение высокочувствительных военных данных происходит гораздо чаще, с интервалом в 600 секунд (каждые 10 минут).

Кроме того, настройка и запуск сервисов Tor, обеспечивающих удаленный доступ, запланированы на каждые 6000 секунд. Чтобы поддерживать сетевое подключение, вредоносное ПО выполняет проверку домена geodatatoo(dot)com каждые 3 минуты.

Стоит отметить, что вредоносная программа Infamous Chisel не отдает приоритет скрытности; вместо этого он, похоже, гораздо больше заинтересован в быстрой краже данных и быстром переходе к более ценным военным сетям.