Західні спецслужби заявили, що підрозділ російської військової розвідки атакує українські Android-пристрої новим бекдором. Софт Infamous Chisel націлений на збройні сили, які воюють проти російської армії.
Infamous Chisel – це набір компонентів, які забезпечують постійний доступ до даних на інфікованому пристрою Android через мережу Tor. Цей софт періодично збирає та вилучає інформацію зі зламаних пристроїв, заявили представники розвідки Великобританії, США, Канади, Австралії та Нової Зеландії.
«Викрадена інформація є комбінацією інформації про системні пристрої, інформації про комерційні програми та програм, специфічних для українських військових», – пишуть вони.
Служба безпеки України вперше заявила про зловмисне програмне забезпечення Infamous Chisel у серпні. Тоді чиновники заявили, що українські військовослужбовці перешкодили російським спецслужбам отримати доступ до конфіденційної інформації, зокрема про діяльність Збройних Сил, розгортання Сил оборони, їх технічне забезпечення тощо.
Infamous Chisel отримує стійкість до видалення, замінюючи законний системний компонент, відомий як netd, на шкідливу версію. Окрім дозволу Infamous Chisel запускатися щоразу, коли пристрій перезавантажується, шкідливий netd також є основним двигуном шкідливого програмного забезпечення. Він використовує сценарії оболонки та команди для зіставлення та збору інформації про пристрій, а також шукає в каталогах файли з попередньо визначеним набором розширень. Залежно від того, де на зараженому пристрої знаходиться зібраний файл, netd відправляє на російські сервери або відразу, або раз на день.
Викрадаючи цікаві файли, Infamous Chisel використовує протокол TLS і жорстко закодовані IP-адресу та порт. Використання локальної IP-адреси, ймовірно, є механізмом передачі мережевого трафіку через VPN або інший безпечний канал, налаштований на зараженому пристрої. Це дозволить змішати його трафік з очікуваним зашифрованим мережевим трафіком. У разі збою підключення до локальної IP-адреси та порту зловмисне програмне забезпечення повертається до жорстко закодованого домену, який вирішується за допомогою запиту до DNS Google.
Infamous Chisel також встановлює версію SSH-клієнта Dropbear, який можна використовувати для віддаленого доступу до пристрою. Установлена версія має механізми автентифікації, які були змінені порівняно з оригінальною версією, щоб змінити спосіб входу користувачів у сеанс SSH.
Infamous Chisel, як стверджується у звіті, був створений групою Sandworm. Sandworm є однією з найкваліфікованіших і найжорстокіших хакерських груп у світі, і вона стоїть за одними з найбільш руйнівних атак в історії.
Групу Sandworm пов’язують з атаками NotPetya у 2017 році, які, за оцінкою Білого дому, спричинили збитки в 10 мільярдів доларів, що робить його найдорожчим вірусом в історії. Групу Sandworm також пов’язують із хакерськими атаками на енергомережі України, які спричинили масові збої в найхолодніші місяці 2016 року та в 2017 році.
