Западные спецслужбы заявили, что подразделение российской военной разведки атакует украинские Android-устройства новым бэкдором. Софт Infamous Chisel нацелен на вооруженные силы, воюющие против российской армии.
Infamous Chisel – это набор компонентов, обеспечивающих постоянный доступ к данным на инфицированном устройстве Android через сеть Tor. Софт периодически собирает и изымает информацию со сломанных устройств, заявили представители разведки Великобритании, США, Канады, Австралии и Новой Зеландии.
«Похищенная информация является комбинацией информации о системных устройствах, информации о коммерческих программах и программах, специфичных для украинских военных», — пишут они.
Служба безопасности Украины впервые заявила о вредоносном программном обеспечении Infamous Chisel в августе. Тогда чиновники заявили, что украинские военнослужащие помешали российским спецслужбам получить доступ к конфиденциальной информации, в частности о деятельности Вооруженных сил, развертывании Сил обороны, их техническом обеспечении и т.д.
Infamous Chisel получает устойчивость к удалению, заменяя законный системный компонент, известный как netd, на вредоносную версию. Помимо разрешения Infamous Chisel запускаться каждый раз, когда устройство перезагружается, вредоносный netd также является основным двигателем вредоносного программного обеспечения. Он использует сценарии оболочки и команды для сопоставления и сбора информации об устройстве, а также ищет в каталогах файлы с определенным набором расширений. В зависимости от того, где на зараженном устройстве находится собранный файл, netd отправляет на русские серверы либо сразу, либо ежедневно.
Похищая интересные файлы, Infamous Chisel использует протокол TLS и жестко закодированные IP-адрес и порт. Использование локального IP-адреса, вероятно, является механизмом передачи сетевого трафика через VPN или другой безопасный канал, настроенный на зараженном устройстве. Это позволит смешать его трафик с ожидаемым зашифрованным сетевым трафиком. В случае сбоя подключения к локальному IP-адресу и порту злонамеренное программное обеспечение возвращается к жестко закодированному домену, который решается с помощью запроса DNS Google.
Infamous Chisel также устанавливает версию SSH-клиента Dropbear, который можно использовать для удаленного доступа к устройству. Установленная версия имеет механизмы проверки подлинности, которые были изменены по сравнению с оригинальной версией, чтобы изменить способ входа пользователей в сеанс SSH.
Infamous Chisel, как утверждается в отчете, был создан группой Sandworm. Sandworm является одной из самых квалифицированных и жестоких хакерских групп в мире, и она стоит за одними из самых разрушительных атак в истории.
Группу Sandworm связывают с атаками NotPetya в 2017 году. /a>, которые, по оценке Белого дома, повлекли ущерб в 10 миллиардов долларов, что делает его самым дорогим вирусом в истории. Группу Sandworm также связывают с хакерскими атаками на энергосети Украины</ a>, которые повлекли за собой массовые сбои в самые холодные месяцы 2016 года и в 2017 году.