‫ esfahan_rahmani بلاگ

هکرهایی که برای اداره اصلی ستاد کل نیروهای مسلح فدراسیون روسیه کار می‌کنند، دستگاه‌های اندرویدی در اوکراین را با یک چارچوب مخرب جدید به نام «Infamous Chisel» هدف قرار داده‌اند.

این جعبه ابزار دسترسی درب پشتی هکرها را از طریق سرویسی که در شبکه ناشناس The Onion Router ‪(Tor)‬ پنهان شده است فراهم می کند به آنها اجازه می دهد فایل های محلی را اسکن کنند و ترافیک شبکه را رهگیری کنند و داده ها را استخراج کنند.

این بدافزار برای اولین بار در هشداری از سوی سرویس امنیتی اوکراین (SSU) در اوایل ماه جاری در مورد تلاش های گروه هکر Sandworm برای نفوذ به سیستم های فرماندهی نظامی برجسته شد.

گزارش‌های امروز مرکز امنیت سایبری ملی بریتانیا (NCSC) و آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده (CISA) عمیق‌تر به جزئیات فنی Infamous Chisel می‌پردازند و توانایی‌های آن را نشان می‌دهند و اطلاعاتی را به اشتراک می‌گذارند که می‌تواند به دفاع در برابر آن کمک کند.

جزئیات بدافزار Infamous Chisel
NCSC Infamous Chisel را به عنوان "مجموعه ای از مؤلفه ها توصیف می کند که دسترسی دائمی به یک دستگاه Android آلوده را از طریق شبکه Tor امکان پذیر می کند و به طور دوره ای اطلاعات قربانیان را از دستگاه های در معرض خطر جمع آوری و استخراج می کند."

هنگامی که دستگاهی را آلوده می‌کند، مؤلفه اصلی، «netd» که مجموعه‌ای از دستورات و اسکریپت‌های پوسته را کنترل می‌کند، جایگزین باینری سیستم اندروید قانونی می‌شود تا پایداری داشته باشد، این بدافزار دستگاه‌های اندرویدی را هدف قرار می‌دهد و آنها را اسکن می‌کند تا اطلاعات و برنامه‌های مربوط به ارتش اوکراین را بیابد تا به سرورهای مهاجم ارسال کند.

یک فایل مخفی («.google.index») فایل‌های ارسال شده به هکرها را با استفاده از هش‌های MD5 برای جلوگیری از داده‌های تکراری ردیابی می‌کند. محدودیت سیستم 16,384 فایل است، بنابراین موارد تکراری فراتر از آن نقطه ارسال می شوند.

Infamous Chisel پسوند فایل های موجود در تصویر زیر را هدف قرار می دهد و دایرکتوری هایی که اسکن می کند شامل حافظه داخلی دستگاه و هر کارت SD موجود است.
 
انواع فایل های مورد هدف بدافزار (NCSC)
دایرکتوری ‎/data/‎ اندروید برای برنامه‌هایی مانند Google Authenticator، OpenVPN Connect، PayPal، Viber، WhatsApp، Signal، Telegram، Gmail، Chrome، Firefox، Brave، Microsft One Cloud، Android Contacts و بسیاری موارد دیگر اسکن می‌شود.

این بدافزار همچنین می‌تواند اطلاعات سخت‌افزاری را جمع‌آوری کند، شبکه محلی را برای پورت‌های باز و میزبان‌های فعال کاوش کند و به مهاجمان دسترسی از راه دور از طریق SOCKS و یک اتصال SSH از طریق دامنه ONION که به‌طور تصادفی ایجاد شده است بدهد.

پیکربندی و اجرای سرویس‌های Tor که دسترسی از راه دور را تسهیل می‌کنند هر 6000 ثانیه اتفاق می‌افتد و بررسی اتصال شبکه بر روی دامنه "geodatatoo[.]‎com" هر 3 دقیقه یک بار انجام می‌شود.

NCSC خاطرنشان می‌کند که Infamous Chisel به‌خصوص مخفیانه نیست و به نظر می‌رسد که هدفش استخراج سریع داده‌ها و چرخش به شبکه‌های نظامی ارزشمندتر است.

این آژانس می‌گوید که اجزای این جعبه ابزار بسیار پیچیده نیستند (پیچیدگی کم تا متوسط) و به نظر می‌رسد که آنها «با توجه کمی ، به فرار دفاعی یا پنهان‌کاری فعالیت‌های مخرب توسعه داده شده‌اند».

منبع

bleepingcomputer