Phần mềm độc hại di động Chisel khét tiếng
Các đặc vụ mạng liên kết với Tổng cục trưởng Bộ Tổng tham mưu Lực lượng vũ trang Liên bang Nga, thường được gọi là GRU, đã bắt đầu một chiến dịch có chủ đích nhằm vào các thiết bị Android ở Ukraine. Vũ khí lựa chọn của họ trong cuộc tấn công này là một bộ công cụ đe dọa đáng ngại và được phát hiện gần đây có tên là 'Cái đục khét tiếng'.
Khung khó chịu này cho phép tin tặc truy cập cửa sau vào các thiết bị được nhắm mục tiêu thông qua một dịch vụ được che giấu trong mạng The Onion Router (Tor). Dịch vụ này cấp cho kẻ tấn công khả năng quét các tệp cục bộ, chặn lưu lượng mạng và trích xuất dữ liệu nhạy cảm.
Cơ quan An ninh Ukraine (SSU) lần đầu tiên gióng lên cảnh báo về mối đe dọa này, cảnh báo công chúng về nỗ lực của nhóm hack Sandworm nhằm xâm nhập vào các hệ thống chỉ huy quân sự bằng cách sử dụng phần mềm độc hại này.
Sau đó, cả Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC) và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đều đã nghiên cứu sâu các khía cạnh kỹ thuật phức tạp của Infamous Chisel. Báo cáo của họ làm sáng tỏ khả năng của nó và cung cấp những hiểu biết sâu sắc có giá trị để tăng cường các biện pháp phòng thủ chống lại mối đe dọa mạng này.
Chiếc đục khét tiếng có nhiều khả năng gây hại
Infamous Chisel bị xâm phạm một số thành phần được thiết kế để thiết lập quyền kiểm soát liên tục đối với các thiết bị Android bị xâm nhập thông qua mạng Tor. Định kỳ, nó thu thập và chuyển dữ liệu nạn nhân từ các thiết bị bị nhiễm.
Sau khi xâm nhập thành công vào thiết bị, thành phần trung tâm, 'netd', sẽ đảm nhận quyền kiểm soát và sẵn sàng thực hiện một bộ lệnh và tập lệnh shell. Để đảm bảo tính bền vững lâu dài, nó thay thế hệ nhị phân hợp pháp của hệ thống Android 'netd'.
Phần mềm độc hại này được thiết kế đặc biệt để xâm phạm các thiết bị Android và quét tỉ mỉ các thông tin cũng như ứng dụng liên quan đến quân đội Ukraine. Tất cả dữ liệu thu được sau đó sẽ được chuyển tiếp đến máy chủ của thủ phạm.
Để ngăn chặn việc sao chép các tệp đã gửi, một tệp ẩn có tên '.google.index' sử dụng hàm băm MD5 để theo dõi dữ liệu được truyền. Dung lượng của hệ thống được giới hạn ở 16.384 tệp, do đó, các bản sao có thể được lọc vượt quá ngưỡng này.
Infamous Chisel tạo ra một mạng lưới rộng lớn khi nói đến các phần mở rộng tệp, nhắm mục tiêu vào một danh sách mở rộng bao gồm .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, cơ sở dữ liệu.hik, cơ sở dữ liệu.hik-journal, ezvizlog.db, cache4.db, contact2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, account.db, PyroMsg.DB, .exe , .kml. Hơn nữa, nó quét bộ nhớ trong của thiết bị và mọi thẻ SD có sẵn, không ngừng tìm kiếm dữ liệu.
Kẻ tấn công có thể sử dụng chiếc đục khét tiếng để lấy dữ liệu nhạy cảm
Phần mềm độc hại Infamous Chisel tiến hành quét toàn diện trong thư mục /data/ của Android, tìm kiếm các ứng dụng như Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , và một loạt những thứ khác.
Hơn nữa, phần mềm đe dọa này còn có khả năng thu thập thông tin phần cứng và thực hiện quét trên mạng cục bộ để xác định các cổng mở và máy chủ đang hoạt động. Những kẻ tấn công có thể có quyền truy cập từ xa thông qua SOCKS và kết nối SSH, được định tuyến lại thông qua miền .ONION được tạo ngẫu nhiên.
Quá trình lọc các tập tin và dữ liệu thiết bị diễn ra đều đặn, chính xác cứ sau 86.000 giây, tương đương với một ngày. Hoạt động quét mạng LAN diễn ra hai ngày một lần, trong khi việc trích xuất dữ liệu quân sự có độ nhạy cao diễn ra thường xuyên hơn, với khoảng thời gian 600 giây (cứ sau 10 phút).
Hơn nữa, việc cấu hình và thực thi các dịch vụ Tor hỗ trợ truy cập từ xa được lên lịch diễn ra cứ sau 6.000 giây. Để duy trì kết nối mạng, phần mềm độc hại thực hiện kiểm tra miền 'geodatatoo(dot)com' cứ sau 3 phút.
Điều đáng chú ý là phần mềm độc hại Infamous Chisel không ưu tiên khả năng tàng hình; thay vào đó, nó dường như quan tâm nhiều hơn đến việc lọc dữ liệu nhanh chóng và nhanh chóng hướng tới các mạng quân sự có giá trị hơn.
