Западные спецслужбы сообщают, что подразделение российской военной разведки атакует Android-устройства украинцев с помощью нового программного обеспечения Infamous Chisel.
«Infamous Chisel – это набор компонентов, которые обеспечивают постоянный доступ к инфицированному устройству Android через сеть Tor и периодически собирает и изымает информацию о системных устройствах, коммерческих программах и специализированных программах для украинских военных», — заявили представители разведки Великобритании, США, Канады, Австралии и Новой Зеландии в четверг.
СБУ впервые заявила об угрозе вредоносного ПО в начале июля, отметив, что украинские военнослужащие «помешали российским спецслужбам получить доступ к конфиденциальной информации, в частности о деятельности Вооруженных сил, развертывании Сил обороны, их техническом обеспечении и т.д.».
Infamous Chisel устойчива из-за замены легального системного компонента, известного как netd, вредоносной версией. Зараженный компонент становится основным механизмом вредоносного программного обеспечения – он использует сценарии оболочки и команды для сравнения и сбора информации об устройстве, а также ищет в каталогах файлы с предварительно определенным набором расширений. В зависимости от того, где на зараженном устройстве находится собранный файл, netd отправляет его на российские серверы либо сразу, либо ежедневно.
По информации спецслужб, Infamous Chisel использует криптографический протокол TLS и жестко закодированные IP-адрес и порт. Использование локального IP-адреса, вероятно, является механизмом передачи сетевого трафика через VPN или другой безопасный канал, настроенный на зараженном устройстве. Это позволяет смешать трафик эксфильтрации с ожидаемым зашифрованным сетевым трафиком. В случае сбоя подключения к локальному IP-адресу и порту вредоносное программное обеспечение возвращается в жестко закодированный домен, который решается с помощью запроса на dns.google.
Infamous Chisel также устанавливает версию SSH-клиента Dropbear, который можно использовать для удаленного доступа к устройству.
В отчете западной разведки не сообщается, как устанавливается вредоносное программное обеспечение. Ранее СБУ сообщала, что россияне «захватили украинские планшеты на поле боя с целью распространения вредоносного программного обеспечения и проникновения в систему».
Infamous Chisel, как утверждается, создан хакером Sandworm – одной из самых квалифицированных и жестоких хакерских групп в мире, которая стоит за одними из самых разрушительных атак в истории. В частности, группу связывают с атаками NotPetya 2017 года, которые по оценкам Белого дома, нанесли убытки на $10 млрд, а также атаками на энергосети Украины, повлекшие массовые сбои в самые холодные месяцы 2016 и 2017 годов.
Источник: Bleeping Computer, Ars Technica