Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC) ve Anglophone Five Eyes kolektifindeki ortak kurumları, Güvenlik Servisi’nin önceki iddialarını destekleyerek, Ukrayna askeri hedeflerine yönelik bir siber saldırı kampanyasını resmi olarak Sandworm gelişmiş kalıcı tehdit (APT) aktörüne bağladı. Ağustos ayının başlarında kampanyada kullanılan yeni Infamous Chisel kötü amaçlı yazılım ailesini ilk kez açığa çıkaran Ukrayna (SBU).
Rezil Keski, Rusya’nın askeri istihbarat teşkilatı GRU tarafından desteklenen Sandworm tarafından Ukrayna silahlı kuvvetlerine ait Android mobil cihazları hedeflemek için kullanıldı. Yüksek düzeyde, 10’u Ukraynalılar tarafından belirlenen çeşitli bileşenleri, güvenliği ihlal edilmiş cihazları gözetlemek üzere tasarlandı.
NCSC operasyon direktörü Paul Chichester, “Ukrayna askeri hedeflerine yönelik bu kötü niyetli kampanyanın açığa çıkması, Rusya’nın Ukrayna’daki yasadışı savaşının siber uzayda nasıl devam ettiğini gösteriyor” dedi.
“Yeni raporumuz, bu yeni kötü amaçlı yazılımın nasıl çalıştığına ilişkin uzman analizini paylaşıyor ve Ukrayna’nın sağlam savunmasını desteklemek için müttefiklerimizle yaptığımız çalışmaların en son örneğidir” dedi. “Birleşik Krallık, Rusya’nın siber saldırganlığına karşı çağrıda bulunmaya kararlıdır ve bunu yapmaya devam edeceğiz.”
SBU, Ukrayna Silahlı Kuvvetleri ile birlikte çalışarak Rusların aradıkları hassas verilere erişmesini başarıyla engellediğini söyledi. sağlama.
“Topyekün savaşın ilk günlerinden bu yana, siber saldırıları savuşturuyoruz. [the] Rus istihbarat servisleri askeri komuta sistemimizi ve daha fazlasını kırmayı hedefliyor” dedi SBU siber güvenlik başkanı Illia Vitiuk.
Şu anda yürüttüğümüz operasyon güçlerimizin siber savunmasıdır” dedi.
Kampanya nasıl ortaya çıktı?
SSU’nun siber araştırmacıları, GRU’nun savaş alanında Ukraynalılardan ele geçirilen tabletleri ele geçirmeyi başardığını ve bunları, “uzun vadeli” olarak tanımladıkları şekilde sisteme sızmak ve kötü amaçlı dosyaları diğer Android cihazlara dağıtmak için önceden yapılandırılmış erişimi kötüye kullanmak için kullandığını tespit etti. ve kapsamlı” hazırlık aşaması.
Infamous Chisel’in çeşitli bileşenleri, virüslü bir Android cihazına Tor ağı aracılığıyla kalıcı erişim sağlamak için birlikte çalıştı; bu, Tor’un, güvenli bir yuva kabuğu (SSH) bağlantısı sağlayan değiştirilmiş bir Dropbear ikili dosyasına iletilen gizli bir hizmetle yapılandırılması ve çalıştırılmasıyla sağlandı. .
Periyodik olarak, önceden tanımlanmış bir dizi dosya uzantısını taradıktan sonra kurban bilgilerini topluyor ve sızdırıyordu. Ayrıca aktif ana bilgisayarlar ve açık bağlantı noktaları gibi çeşitli veri noktalarını derlemek için bulunduğu yerel ağları da taradı ve izledi.
NCSC, çeşitli bileşenlerin düşük ila orta düzeyde karmaşıklığa sahip olduğunu ve savunmadan kaçınma veya faaliyetlerinin gizlenmesi pek dikkate alınmadan geliştirilmiş gibi göründüğünü söyledi. Sandworm, birçok Android cihazın ana bilgisayar tabanlı bir algılama sistemine sahip olmaması nedeniyle bu tür özellikleri dışarıda bırakmış olabilir.
Ancak NCSC’nin raporu, Infamous Chisel’de mevcut olan iki ilginç tekniğe dikkat çekti. İlk olarak, kalıcılığı korumak için bir bileşen meşru bir yürütülebilir dosyanın (netd) yerini alır. İkinci olarak, dropbear’ı içeren bileşenlerdeki kimlik doğrulama fonksiyonunun değiştirilmesi göze çarpıyor.
NCSC, bu tekniklerin her ikisinin de iyi düzeyde C++ bilgisi ve Linux kimlik doğrulama ve önyükleme mekanizmalarının anlaşılmasını gerektirdiğini söyledi.
Ajans, gizleme işlevlerine yeterince dikkat edilmemesine rağmen, Infamous Chisel’in çalmak üzere tasarlandığı bilgilerin doğası gereği hala ciddi bir tehdit oluşturduğunu ekledi.
Bu yazının yazıldığı sırada NCSC, Infamous Chisel’in başka hedeflere karşı konuşlandırıldığına dair herhangi bir öneride bulunmadı, ancak uzlaşma göstergelerinin ve Yara kurallarının tam listesi raporda yer alıyor.