Les agences de cybersécurité et de renseignement d’Australie, du Canada, de Nouvelle-Zélande, du Royaume-Uni et des États-Unis ont divulgué jeudi les détails d’une souche de malware mobile ciblant les appareils Android utilisés par l’armée ukrainienne.
Le logiciel malveillant, surnommé Ciseau infâme et attribué à un acteur parrainé par l’État russe appelé Sandworm, a capacités pour « permettre l’accès non autorisé aux appareils compromis, analyser les fichiers, surveiller le trafic et voler périodiquement des informations sensibles ».
Certains aspects du logiciel malveillant ont été découverts par le Service de sécurité ukrainien (SBU) début août, mettant en évidence les tentatives infructueuses de pénétration des adversaires. Réseaux militaires ukrainiens et recueillir des renseignements précieux.
Sandworm, également connu sous les noms de FROZENBARENTS, Iron Viking, Seashell Blizzard et Voodoo Bear, fait référence au Centre principal des technologies spéciales (GTsST) de la Direction principale du renseignement russe (GRU).
Actif depuis au moins 2014, l’équipe de hackers est surtout connue pour sa série de cyber-campagnes perturbatrices et destructrices utilisant des logiciels malveillants tels que Industroyer, BlackEnergy et NotPetya.
En juillet 2023, Mandiant, propriété de Google dit que les cyberopérations malveillantes du GRU adhèrent à un manuel qui offre des avantages tactiques et stratégiques, permettant aux acteurs de la menace de s’adapter rapidement à un « environnement opérationnel au rythme rapide et hautement contesté » et en même temps d’optimiser la vitesse, l’échelle et l’intensité sans être détecté.
Infamous Chisel est décrit comme un ensemble de plusieurs composants conçus dans le but de permettre l’accès à distance et d’exfiltrer les informations des téléphones Android.
En plus d’analyser les appareils à la recherche d’informations et de fichiers correspondant à un ensemble prédéfini d’extensions de fichiers, le malware contient également des fonctionnalités permettant d’analyser périodiquement le réseau local et d’offrir un accès SSH.
« Infamous Chisel fournit également un accès à distance en configurant et en exécutant TOR avec un service caché qui transmet à un binaire Dropbear modifié fournissant une connexion SSH », a déclaré l’alliance de renseignement Five Eyes (FVEY).
Une brève description de chacun des modules est la suivante –
- net – Rassemblez et exfiltrez les informations de l’appareil compromis à intervalles définis, y compris à partir de répertoires et de navigateurs Web spécifiques aux applications.
- td – Fournir des services TOR
- goutte – Configurer les services Tor et vérifier la connectivité réseau (exécuté par netd)
- tcpdump – Légitime utilitaire tcpdump sans aucune modification
- tueur – Terminez le processus netd
- base de données – Contient plusieurs outils pour copier des fichiers et fournir un accès sécurisé au périphérique via le service caché TOR en utilisant une version modifiée de Dropbear
- NDBR – Un binaire multi-appels similaire à db qui se décline en deux versions pour pouvoir fonctionner sur les architectures CPU Arm (ndbr_armv7l) et Intel (ndbr_i686)
La persistance sur l’appareil est obtenue en remplaçant le démon netd légitime, responsable de la configuration du réseau sur Android, par une version malveillante, lui permettant d’exécuter des commandes en tant qu’utilisateur root.
« Les composants d’Infamous Chisel sont de sophistication faible à moyenne et semblent avoir été développés sans se soucier de l’évasion de la défense ou de la dissimulation d’activités malveillantes », ont indiqué les agences.
« La recherche de fichiers spécifiques et de chemins de répertoire liés aux applications militaires et l’exfiltration de ces données renforcent l’intention d’accéder à ces réseaux. Bien que les composants manquent de techniques de base d’obscurcissement ou de furtivité pour dissimuler l’activité, l’acteur a peut-être jugé cela comme inutile. , car de nombreux appareils Android ne disposent pas d’un système de détection basé sur l’hôte.
Détecter, Répondre, Protéger : ITDR et SSPM pour une sécurité SaaS complète
Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces à l’aide de SSPM. Découvrez comment sécuriser vos applications SaaS d’entreprise et protéger vos données, même après une violation.
Cette évolution intervient alors que le Centre national de coordination de la cybersécurité d’Ukraine (NCSCC) a mis en lumière les tentatives de phishing d’un autre groupe de piratage soutenu par le Kremlin, connu sous le nom de Gamaredon (alias Aqua Blizzard, Shuckworm ou UAC-0010) pour siphonner des informations classifiées.
L’agence gouvernementale a déclaré que l’acteur menaçant, qui a ciblé l’Ukraine à plusieurs reprises depuis 2013, intensifie ses attaques contre les entités militaires et gouvernementales dans le but de récolter des données sensibles liées à ses opérations de contre-offensive contre les troupes russes.
« Gamaredon utilise des documents légitimes volés d’organisations compromises pour infecter les victimes », NCSCC dit. « Gamaredon utilise des documents légitimes volés provenant d’organisations compromises pour infecter ses victimes. »
Le groupe a des antécédents d’abus de Telegram et Telegraph comme résolveurs de chute morte pour récupérer des informations relatives à son infrastructure de commande et de contrôle (C2), tout en exploitant un arsenal « complet » d’outils malveillants pour atteindre ses objectifs stratégiques.
Cela comprend GammaDrop, GammaLoad, GammaSteel, LakeFlash et Pterodo, dont le dernier est un outil polyvalent conçu pour l’espionnage et l’exfiltration de données.
« Sa polyvalence dans le déploiement de divers modules en fait une menace puissante, capable d’infiltrer et de compromettre les systèmes ciblés avec précision », a déclaré le NCSCC.
« Bien que Gamaredon ne soit peut-être pas le groupe de menace le plus avancé techniquement ciblant l’Ukraine, leurs tactiques présentent une évolution calculée. La fréquence croissante des attaques suggère une expansion de leur capacité opérationnelle et de leurs ressources. »