Agencias de inteligencia y ciberseguridad de Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos revelaron el jueves detalles de una variedad de malware móvil dirigido a dispositivos Android utilizados por el ejército ucraniano.
El software malicioso, denominado Cincel infame y atribuido a un actor patrocinado por el estado ruso llamado Sandworm, ha capacidades para «permitir el acceso no autorizado a dispositivos comprometidos, escanear archivos, monitorear el tráfico y robar periódicamente información confidencial».
Algunos aspectos del malware fueron descubiertos por el Servicio de Seguridad de Ucrania (SBU) a principios de agosto, destacando intentos fallidos por parte de los adversarios de penetrar Redes militares ucranianas y reunir información valiosa.
Sandworm, también conocido con los nombres FROZENBARENTS, Iron Viking, Seashell Blizzard y Voodoo Bear, se refiere al Centro Principal de Tecnologías Especiales (GTsST) de la Dirección Principal de Inteligencia de Rusia (GRU).
Activo desde al menos 2014, el equipo de hackers es mejor conocido por su serie de campañas cibernéticas disruptivas y destructivas que utilizan malware como Industroyer, BlackEnergy y NotPetya.
En julio de 2023, Mandiant, propiedad de Google dicho que las operaciones cibernéticas maliciosas de GRU se adhieren a un manual que ofrece beneficios tácticos y estratégicos, permitiendo a los actores de amenazas adaptarse rápidamente a un «entorno operativo acelerado y altamente disputado» y al mismo tiempo maximizar la velocidad, escala e intensidad. sin ser detectado.
Infamous Chisel se describe como una colección de múltiples componentes diseñados con la intención de permitir el acceso remoto y extraer información de los teléfonos Android.
Además de escanear los dispositivos en busca de información y archivos que coincidan con un conjunto predefinido de extensiones de archivo, el malware también contiene una funcionalidad para escanear periódicamente la red local y ofrecer acceso SSH.
«Infamous Chisel también proporciona acceso remoto configurando y ejecutando TOR con un servicio oculto que reenvía a un binario Dropbear modificado que proporciona una conexión SSH», dijo la alianza de inteligencia Five Eyes (FVEY).
Una breve descripción de cada uno de los módulos es la siguiente:
- neto – Recopile y extraiga información del dispositivo comprometido a intervalos establecidos, incluidos directorios de aplicaciones específicas y navegadores web.
- td – Proporcionar servicios TOR
- gota – Configurar los servicios Tor y verificar la conectividad de la red (ejecutado por netd)
- tcpdump – Legítimo utilidad tcpdump sin modificaciones
- asesino – Terminar el proceso neto
- base de datos – Contiene varias herramientas para copiar archivos y proporcionar acceso shell seguro al dispositivo a través del servicio oculto TOR utilizando una versión modificada de Dropbear
- NDBR – Un binario de llamadas múltiples similar a db que viene en dos versiones para poder ejecutarse en arquitecturas de CPU Arm (ndbr_armv7l) e Intel (ndbr_i686).
La persistencia en el dispositivo se logra reemplazando el demonio netd legítimo, responsable de la configuración de la red en Android, por una versión fraudulenta, que le permite ejecutar comandos como usuario root.
«Los componentes de Infamous Chisel son de baja a media sofisticación y parecen haber sido desarrollados teniendo poco en cuenta la evasión de defensa o el ocultamiento de actividad maliciosa», dijeron las agencias.
«La búsqueda de archivos específicos y rutas de directorio que se relacionan con aplicaciones militares y la exfiltración de estos datos refuerza la intención de obtener acceso a estas redes. Aunque los componentes carecen de técnicas básicas de ofuscación o sigilo para disfrazar la actividad, el actor puede haber considerado que esto no era necesario , ya que muchos dispositivos Android no tienen un sistema de detección basado en host».
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
El desarrollo se produce cuando el Centro Nacional de Coordinación de Ciberseguridad de Ucrania (NCSCC) arrojó luz sobre los esfuerzos de phishing de otro equipo de piratería respaldado por el Kremlin conocido como Gamaredon (también conocido como Aqua Blizzard, Shuckworm o UAC-0010) para desviar información clasificada.
La agencia gubernamental dijo que el actor de amenazas, que ha atacado repetidamente a Ucrania desde 2013, está intensificando los ataques contra entidades militares y gubernamentales con el objetivo de recopilar datos confidenciales relacionados con sus operaciones de contraofensiva contra las tropas rusas.
«Gamaredon utiliza documentos legítimos robados de organizaciones comprometidas para infectar a las víctimas», NCSCC dicho. «Gamaredon utiliza documentos legítimos robados de organizaciones comprometidas para infectar a las víctimas».
El grupo tiene un historial de abuso de Telegram y Telegraph como solucionadores de caída muerta para recuperar información relacionada con su infraestructura de comando y control (C2), mientras aprovecha un arsenal «completo» de herramientas de malware para cumplir sus objetivos estratégicos.
Esto incluye GammaDrop, GammaLoad, GammaSteel, LakeFlash y Pterodo, el último de los cuales es una herramienta multipropósito perfeccionada para el espionaje y la filtración de datos.
«Su versatilidad en el despliegue de varios módulos lo convierte en una amenaza potente, capaz de infiltrarse y comprometer sistemas específicos con precisión», dijo NCSCC.
«Si bien Gamaredon puede no ser el grupo de amenazas técnicamente más avanzado que apunta a Ucrania, sus tácticas exhiben una evolución calculada. La creciente frecuencia de los ataques sugiere una expansión de su capacidad operativa y sus recursos».