มัลแวร์มือถือ Chisel ที่น่าอับอาย

เจ้าหน้าที่ปฏิบัติการทางไซเบอร์ที่อยู่ในเครือของ Main Directorate of the General Staff ของ Russian Federation Armed Forces หรือที่เรียกกันทั่วไปว่า GRU ได้เริ่มแคมเปญที่กำหนดเป้าหมายไปที่อุปกรณ์ Android ภายในยูเครน อาวุธที่พวกเขาเลือกใช้ในการรุกครั้งนี้คือชุดเครื่องมือคุกคามที่เป็นลางร้ายที่เพิ่งค้นพบเมื่อไม่นานมานี้ซึ่งมีชื่อว่า 'สิ่วที่น่าอับอาย'

เฟรมเวิร์กที่น่ารังเกียจนี้ช่วยให้แฮกเกอร์เข้าถึงประตูหลังไปยังอุปกรณ์เป้าหมายผ่านบริการที่ซ่อนอยู่ภายในเครือข่าย Onion Router (Tor) บริการนี้ช่วยให้ผู้โจมตีสามารถสแกนไฟล์ในเครื่อง สกัดกั้นการรับส่งข้อมูลเครือข่าย และแยกข้อมูลที่ละเอียดอ่อนได้

หน่วยรักษาความปลอดภัยของยูเครน (SSU) ส่งเสียงเตือนเกี่ยวกับภัยคุกคามดังกล่าวเป็นครั้งแรก โดยแจ้งเตือนสาธารณชนถึงความพยายามของกลุ่มแฮ็กเกอร์ Sandworm ที่จะแทรกซึมเข้าไปในระบบสั่งการทางทหารโดยใช้มัลแวร์นี้

หลังจากนั้น ทั้งศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เจาะลึกด้านเทคนิคที่ซับซ้อนของสิ่วที่น่าอับอาย รายงานของพวกเขาให้ความกระจ่างเกี่ยวกับความสามารถและให้ข้อมูลเชิงลึกอันล้ำค่าเพื่อสนับสนุนมาตรการป้องกันภัยคุกคามทางไซเบอร์นี้

สิ่วอันเลื่องชื่อมีความสามารถที่เป็นอันตรายมากมาย

สิ่วที่น่าอับอายถูกบุกรุกจากส่วนประกอบหลายอย่างที่ออกแบบมาเพื่อสร้างการควบคุมอุปกรณ์ Android ที่ถูกบุกรุกอย่างต่อเนื่องผ่านเครือข่าย Tor จะรวบรวมและถ่ายโอนข้อมูลเหยื่อจากอุปกรณ์ที่ติดไวรัสเป็นระยะ

เมื่อแทรกซึมเข้าไปในอุปกรณ์ได้สำเร็จ องค์ประกอบส่วนกลาง 'netd' จะเข้าควบคุมและพร้อมที่จะดำเนินการชุดคำสั่งและเชลล์สคริปต์ เพื่อให้มั่นใจถึงความคงอยู่ยาวนาน ระบบจะแทนที่ไบนารีระบบ Android 'netd' ที่ถูกต้องตามกฎหมาย

มัลแวร์นี้ได้รับการออกแบบมาโดยเฉพาะเพื่อโจมตีอุปกรณ์ Android และสแกนข้อมูลและแอปพลิเคชันที่เกี่ยวข้องกับกองทัพยูเครนอย่างพิถีพิถัน ข้อมูลที่ได้รับทั้งหมดจะถูกส่งต่อไปยังเซิร์ฟเวอร์ของผู้กระทำผิด

เพื่อป้องกันไม่ให้ไฟล์ที่ส่งซ้ำกัน ไฟล์ที่ปกปิดชื่อ '.google.index' จะใช้แฮช MD5 เพื่อคอยดูข้อมูลที่ส่ง ความจุของระบบจำกัดไว้ที่ 16,384 ไฟล์ ดังนั้นไฟล์ที่ซ้ำกันอาจถูกกรองออกเกินเกณฑ์นี้

สิ่วที่น่าอับอายใช้เครือข่ายกว้างเมื่อพูดถึงนามสกุลไฟล์โดยกำหนดเป้าหมายไปที่รายการที่หลากหลายรวมถึง .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, ฐานข้อมูล hik, ฐานข้อมูล hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, บัญชี.db, PyroMsg.DB, .exe , .กม. นอกจากนี้ ยังสแกนหน่วยความจำภายในของอุปกรณ์และการ์ด SD ที่มีอยู่ โดยไม่ละเลยการค้นหาข้อมูล

ผู้โจมตีสามารถใช้สิ่วที่น่าอับอายเพื่อรับข้อมูลที่ละเอียดอ่อนได้

มัลแวร์ Chisel ที่น่าอับอายทำการสแกนแบบครอบคลุมภายในไดเรกทอรี /data/ ของ Android เพื่อค้นหาแอปพลิเคชันเช่น Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts และอีกหลากหลายรายการ

นอกจากนี้ ซอฟต์แวร์ที่เป็นอันตรายนี้ยังมีความสามารถในการรวบรวมข้อมูลฮาร์ดแวร์และทำการสแกนบนเครือข่ายท้องถิ่นเพื่อระบุพอร์ตที่เปิดอยู่และโฮสต์ที่ใช้งานอยู่ ผู้โจมตีสามารถเข้าถึงระยะไกลผ่าน SOCKS และการเชื่อมต่อ SSH ซึ่งถูกกำหนดเส้นทางใหม่ผ่านโดเมน .ONION ที่สร้างขึ้นแบบสุ่ม

การกรองไฟล์และข้อมูลอุปกรณ์เกิดขึ้นในช่วงเวลาปกติทุกๆ 86,000 วินาทีหรือเทียบเท่ากับหนึ่งวัน กิจกรรมการสแกน LAN จะเกิดขึ้นทุกๆ สองวัน ในขณะที่การแยกข้อมูลทางการทหารที่มีความละเอียดอ่อนสูงเกิดขึ้นบ่อยกว่ามาก ในช่วงเวลา 600 วินาที (ทุกๆ 10 นาที)

นอกจากนี้ การกำหนดค่าและการทำงานของบริการ Tor ที่อำนวยความสะดวกในการเข้าถึงระยะไกลนั้นถูกกำหนดให้เกิดขึ้นทุกๆ 6,000 วินาที เพื่อรักษาการเชื่อมต่อเครือข่าย มัลแวร์จะทำการตรวจสอบโดเมน 'geodatatoo(dot)com' ทุกๆ 3 นาที

เป็นที่น่าสังเกตว่ามัลแวร์ Infamous Chisel ไม่ได้ให้ความสำคัญกับการลักลอบ แต่ดูเหมือนว่าจะสนใจการขโมยข้อมูลอย่างรวดเร็วและมุ่งสู่เครือข่ายทางทหารที่มีคุณค่ามากขึ้นอย่างรวดเร็ว