Хакери, які працюють на Головне управління Генерального штабу Збройних сил російської федерації, більше відоме як ГРУ, атакували пристрої Android в Україні за допомогою нового шкідливого середовища під назвою Infamous Chisel. Про це повідомляє BleepingComputer.
Набір інструментів надає хакерам бекдор-доступ через службу, приховану в анонімній мережі The Onion Router (Tor), і дає змогу сканувати локальні файли, перехоплювати мережевий трафік і викрадати дані.
Про зловмисне програмне забезпечення вперше було зазначено у повідомленні Служби безпеки України на початку цього місяця після спроб хакерської групи Sandworm проникнути у системи військового управління.
У нових звітах Національного центру кібербезпеки Великобританії (NCSC) і Агентства кібербезпеки та безпеки інфраструктури США (CISA) фахівці глибше занурилися в технічні деталі Infamous Chisel, показали його можливості й організували обмін інформацією, яка може допомогти захиститися від нього.
Деталі щодо Infamous Chisel
NCSC описує Infamous Chisel як «набір компонентів, які забезпечують постійний доступ до інфікованого Android-пристрою через мережу Tor і який періодично збирає та вилучає інформацію жертви зі зламаних пристроїв».
Після зараження пристрою основний компонент «netd», який керує набором команд і сценаріїв оболонки, замінює законний системний двійковий файл netd Android, щоб досягти стійкості.
Зловмисне програмне забезпечення націлено на Android-пристрої, сканує їх, щоб знайти інформацію й застосунки, пов’язані з українською армією, і відправити це на сервери зловмисників.
Прихований файл (“.google.index”) відстежує файли, надіслані хакерам, використовуючи хеші MD5, щоб запобігти дублюванню даних. Однак системний ліміт становить 16 384 файли, тому дублікати надсилаються за межі цієї точки.
Infamous Chisel націлений на розширення файлів на зображенні нижче, а каталоги, які він сканує, охоплюють внутрішню пам’ять пристрою та будь-які доступні SD-картки.
Каталог /data/ Android сканується на наявність таких програм, як Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts та багато інших.
Зловмисне програмне забезпечення також може збирати інформацію про апаратне забезпечення, досліджувати локальну мережу на відкриті порти й активні хости та надавати зловмисникам віддалений доступ через SOCKS і SSH-з’єднання, що передається через випадково згенерований домен .ONION.
Викрадення даних файлів і пристроїв відбувається кожні 86 тисяч секунд, тобто кожен день. Сканування локальної мережі – кожні два дні. Найважливіші військові дані перекачуються набагато частіше – кожні 600 секунд, тобто кожні 10 хвилин.
Конфігурація та виконання служб Tor, які полегшують віддалений доступ, відбуваються кожні 6000 секунд, а перевірка підключення до мережі в домені «geodatatoo[.]com» – кожні 3 хвилини.
В NCSC зазначили, що Infamous Chisel не є особливо прихованим. Схоже, що він спрямований на швидке викрадення даних і перехід до більш цінних військових мереж.
В Агентстві зауважили, що компоненти інструментарію не є особливо складними (від низької до середньої складності). Ймовірно, вони були розроблені «з незначною увагою до ухилення від захисту або приховування зловмисної діяльності».
Звіт NCSC містить набір індикаторів компрометації, правил і підписів для виявлення.
Раніше ми повідомляли, що російська хакерська група шпигувала за українськими військовими за допомогою JavaScript-коду.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!