Hackers trabalhando para a Direção Principal do Estado-Maior das Forças Armadas da Federação Russa, mais conhecida como GRU, estiveram mirando dispositivos Android na Ucrânia com uma nova estrutura maliciosa chamada "Infamous Chisel".
A ferramenta fornece aos hackers acesso de backdoor por meio de um serviço escondido na rede de anonimato The Onion Router (Tor), permite que eles esvaziem arquivos locais, interceptem tráfego de rede e exfiltrem dados.
O malware foi destacado pela primeira vez em um alerta do Serviço de Segurança da Ucrânia (SSU) no início deste mês sobre os esforços do grupo de hackers Sandworm para penetrar nos sistemas de comando militar.
Relatórios de hoje do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) aprofundam-se nos detalhes técnicos do Infamous Chisel, mostrando suas capacidades e compartilhando informações que podem ajudar a se defender contra ele.
O NCSC descreve o Infamous Chisel como "uma coleção de componentes que permitem o acesso persistente a um dispositivo Android infectado pela rede Tor, e que periodicamente coleta e exfiltra informações da vítima de dispositivos comprometidos".
Uma vez que infecta um dispositivo, o componente principal, 'netd', que controla um conjunto de comandos e scripts de shell, substitui o binário do sistema Android netd legítimo para alcançar a persistência.
O malware mira dispositivos Android e os escaneia para localizar informações e aplicativos relacionados ao exército ucraniano para enviá-los aos servidores do invasor.
Um arquivo oculto (".google[.]index") mantém o controle dos arquivos enviados aos hackers usando hashes MD5 para evitar dados duplicados.
O limite do sistema é de 16.384 arquivos, por isso, duplicatas são enviadas além desse ponto.
O Infamous Chisel tem como alvo as extensões de arquivo na imagem abaixo e os diretórios que ele escaneia incluem a memória interna do dispositivo e quaisquer cartões SD disponíveis.
O diretório /data/ do Android é verificado para aplicativos como Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Contatos Android e muitos mais.
O malware também pode reunir informações de hardware, sondar a rede local em busca de portas abertas e hosts ativos, além de fornecer aos invasores acesso remoto via SOCKS e uma conexão SSH repassada por um domínio .ONION gerado aleatoriamente.
A exfiltração de dados de arquivos e dispositivos acontece a cada 86.000 segundos, que é equivalente a um dia, a varredura da LAN ocorre a cada dois dias e os dados militares mais críticos são extraídos com muito mais frequência, a cada 600 segundos, que equivale a dez minutos.
Configuração e execução de serviços Tor que facilitam o acesso remoto acontecem a cada 6.000 segundos, e uma verificação de conectividade de rede para o domínio "geodatatoo[.]com" ocorre a cada 3 minutos.
O NCSC observa que o Infamous Chisel não é particularmente furtivo e parece visar a rápida exfiltração de dados e a mudança para redes militares mais valiosas.
A agência informa que os componentes da ferramenta não são particularmente sofisticados (de baixa a média complexidade) e parecem ter sido desenvolvidos "com pouca consideração pela defesa contra evasão ou ocultação de atividade maliciosa".
O relatório do NCSC inclui um conjunto de indicadores de comprometimento, regras e assinaturas para detecção.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...