Enquanto a guerra acontece no mundo, no mundo virtual os hackers GRU atacam militares ucranianos com malware Android.
Hackers que trabalham para a Main Directorate of the General Staff of the Armed Forces of the Russian (Diretoria Principal do Estado-Maior General das Forças Armadas da Federação Russa), mais comumente conhecida como GRU, têm como alvo dispositivos Android na Ucrânia com uma nova estrutura maliciosa chamada ‘Infamous Chisel’.
Hackers GRU atacam militares ucranianos com malware Android
O kit de ferramentas fornece acesso backdoor aos hackers por meio de um serviço oculto na rede anônima The Onion Router (Tor), permite que eles verifiquem arquivos locais, interceptem o tráfego da rede e exfiltrem dados.
O malware foi destacado pela primeira vez em um alerta do Ukrainian Security Service (SSU, ou Serviço de Segurança Ucraniano) no início deste mês sobre os esforços do grupo de hackers Sandworm para penetrar nos sistemas de comando militar.
Os relatórios de agora do UK National Cyber Security Center (NCSC, ou Centro Nacional de Segurança Cibernética do Reino Unido) e da US Cybersecurity and Infrastructure Security Agency (CISA, ou Agência de Segurança Cibernética e de Infraestrutura dos EUA) se aprofundam nos detalhes técnicos do Infamous Chisel, mostrando suas capacidades e compartilhando informações que podem ajudar na defesa contra ele.
O NCSC descreve o Infamous Chisel como “uma coleção de componentes que permitem acesso persistente a um dispositivo Android infectado através da rede Tor, e que periodicamente coleta e exfiltra informações de vítimas de dispositivos comprometidos”.
Depois de infectar um dispositivo, o componente principal, ‘netd’, que controla um conjunto de comandos e scripts de shell, substitui o binário legítimo do sistema netd Android para obter persistência.
O malware tem como alvo dispositivos Android e os verifica para localizar informações e aplicativos relacionados aos militares ucranianos e enviá-los aos servidores do invasor.
Um arquivo oculto (“.google.index”) rastreia os arquivos enviados aos hackers usando hashes MD5 para evitar dados duplicados. O limite do sistema é de 16.384 arquivos, portanto, as duplicatas são enviadas além desse ponto.
O Infamous Chisel tem como alvo as extensões de arquivo na imagem abaixo e os diretórios que ele verifica incluem a memória interna do dispositivo e quaisquer cartões SD disponíveis.
O diretório /data/ do Android é verificado em busca de aplicativos como Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsft One Cloud, Android Contacts e muitos mais.
O malware também pode coletar informações de hardware, investigar a rede local em busca de portas abertas e hosts ativos e fornecer aos invasores acesso remoto via SOCKS e uma conexão SSH passada por um domínio .ONION gerado aleatoriamente.
A exfiltração de dados de arquivos e dispositivos ocorre a cada 86.000 segundos, o que equivale a um dia, a varredura de LAN ocorre a cada dois dias, e os dados militares mais críticos são desviados com muito mais frequência, a cada 600 segundos, o que se traduz em dez minutos.
A configuração e execução de serviços Tor que facilitam o acesso remoto acontecem a cada 6.000 segundos, e uma verificação de conectividade de rede no domínio “geodatatoo[.]com” ocorre a cada 3 minutos.
O NCSC observa que o Infamous Chisel não é particularmente furtivo e parece ter como objetivo a rápida exfiltração de dados e a migração para redes militares mais valiosas.
A agência afirma que os componentes do kit de ferramentas não são particularmente sofisticados (de baixa a média complexidade) e parecem ter sido desenvolvidos “com pouca consideração pela evasão de defesa ou ocultação de atividades maliciosas”.
O relatório do NCSC inclui um conjunto de indicadores de comprometimento, regras e assinaturas para detecção
Muito bom amigo, vc tem contribuído muito com os usuários do linux.