.
Imagens Getty
A unidade de inteligência militar da Rússia tem como alvo dispositivos Android ucranianos com “Infamous Chisel”, o nome de rastreamento de um novo malware projetado para fazer backdoors em dispositivos e roubar informações críticas, disseram agências de inteligência ocidentais na quinta-feira.
“Infamous Chisel é uma coleção de componentes que permitem acesso persistente a um dispositivo Android infectado pela rede Tor e que periodicamente coleta e exfiltra informações de vítimas de dispositivos comprometidos”, disseram autoridades de inteligência do Reino Unido, EUA, Canadá, Austrália e Nova Zelândia. escreveu. “As informações exfiltradas são uma combinação de informações de dispositivos do sistema, informações de aplicativos comerciais e aplicativos específicos para os militares ucranianos.”
Uma “ameaça grave”
O serviço de segurança da Ucrânia identificou o malware pela primeira vez no início deste mês. Autoridades ucranianas disseram então que o pessoal ucraniano tinha “impedido que os serviços de inteligência da Rússia tivessem acesso a informações sensíveis, incluindo a actividade das Forças Armadas, o destacamento das Forças de Defesa, o seu fornecimento técnico, etc.”
Infamous Chisel ganha persistência ao substituir o componente legítimo do sistema conhecido como netd com uma versão maliciosa. Além de permitir que o Infamous Chisel seja executado sempre que um dispositivo for reiniciado, o malware netd também é o principal mecanismo do malware. Ele usa scripts e comandos shell para agrupar e coletar informações do dispositivo e também pesquisa diretórios em busca de arquivos que possuem um conjunto predefinido de extensões. Dependendo de onde o arquivo coletado está localizado no dispositivo infectado, netd envia-o para servidores russos imediatamente ou uma vez por dia.
Ao exfiltrar arquivos de interesse, o Infamous Chisel usa o protocolo TLS e um IP e porta codificados. O uso do endereço IP local é provavelmente um mecanismo para retransmitir o tráfego de rede por meio de uma VPN ou outro canal seguro configurado no dispositivo infectado. Isso permitiria que o tráfego de exfiltração se misturasse ao tráfego de rede criptografado esperado. Caso uma conexão com o IP e a porta locais falhe, o malware volta para um domínio codificado que é resolvido usando uma solicitação para dns.google.
O Infamous Chisel também instala uma versão do cliente Dropbear SSH que pode ser usado para acessar remotamente um dispositivo. A versão instalada possui mecanismos de autenticação que foram modificados em relação à versão original para alterar a forma como os usuários fazem login em uma sessão SSH.
No artigo de quinta-feira, as autoridades escreveram:
Os componentes do Infamous Chisel são de baixa a média sofisticação e parecem ter sido desenvolvidos com pouca consideração pela evasão de defesa ou ocultação de atividades maliciosas.
A busca de arquivos específicos e caminhos de diretórios relacionados a aplicações militares e a exfiltração desses dados reforçam a intenção de obter acesso a essas redes. Embora os componentes não possuam técnicas básicas de ofuscação ou furtividade para disfarçar a atividade, o ator pode ter considerado isso desnecessário, uma vez que muitos dispositivos Android não possuem um sistema de detecção baseado em host. Duas técnicas interessantes estão presentes no Infamous Chisel:
- a substituição do executável
netdlegítimo para manter a persistência- a modificação da função de autenticação nos componentes que incluem dropbear
Essas técnicas requerem um bom nível de conhecimento de C++ para fazer as alterações e um conhecimento dos mecanismos de autenticação e inicialização do Linux.
Mesmo com a falta de funções de ocultação, estes componentes representam uma séria ameaça devido ao impacto das informações que podem recolher.
O relatório não disse como o malware é instalado. No comunicado do serviço de segurança da Ucrânia emitido no início deste mês, as autoridades disseram que o pessoal russo “capturou tablets ucranianos no campo de batalha, com o objetivo de espalhar malware e abusar do acesso disponível para penetrar no sistema”. Não está claro se este era o vetor.
O Infamous Chisel, disse o relatório, foi criado por um ator de ameaça rastreado como Sandworm. O Sandworm está entre os grupos de hackers mais habilidosos e cruéis do mundo e está por trás de alguns dos ataques mais destrutivos da história. O grupo foi definitivamente ligado aos ataques do limpador NotPetya de 2017, um surto global que, segundo uma avaliação da Casa Branca, causou US$ 10 bilhões em danos, tornando-o o hack mais caro da história. O Sandworm também foi definitivamente ligado a hacks na rede elétrica da Ucrânia que causaram interrupções generalizadas durante os meses mais frios de 2016 e novamente em 2017.
.
