Les agences de cybersécurité et de renseignement d’Australie, du Canada, de Nouvelle-Zélande, du Royaume-Uni et des États-Unis ont divulgué jeudi les détails d’une souche de malware mobile ciblant les appareils Android utilisés par l’armée ukrainienne.
Le logiciel malveillant, surnommé Ciseau infâme et attribué à un acteur parrainé par l’État russe appelé Sandworm, a la capacité de « permettre un accès non autorisé à des appareils compromis, d’analyser des fichiers, de surveiller le trafic et de voler périodiquement des informations sensibles ».
Certains aspects du logiciel malveillant ont été découverts par le Service de sécurité ukrainien (SBU) début août, mettant en évidence les tentatives infructueuses des adversaires de pénétrer dans les réseaux militaires ukrainiens et de recueillir des renseignements précieux.
Sandworm, également connu sous les noms de FROZENBARENTS, Iron Viking, Seashell Blizzard et Voodoo Bear, fait référence au Centre principal des technologies spéciales (GTsST) de la Direction principale du renseignement russe (GRU).
Actif depuis au moins 2014, l’équipe de hackers est surtout connue pour sa série de cyber-campagnes perturbatrices et destructrices utilisant des logiciels malveillants tels que Industroyer, BlackEnergy et NotPetya.
En juillet 2023, Mandiant, propriété de Google, a déclaré que les cyberopérations malveillantes du GRU adhèrent à un manuel qui offre des avantages tactiques et stratégiques, permettant aux acteurs de la menace de s’adapter rapidement à un « environnement opérationnel au rythme rapide et hautement contesté » et en même temps. le temps maximise la vitesse, l’échelle et l’intensité sans être détecté.
Infamous Chisel est décrit comme un ensemble de plusieurs composants conçus dans le but de permettre l’accès à distance et d’exfiltrer les informations des téléphones Android.
En plus d’analyser les appareils à la recherche d’informations et de fichiers correspondant à un ensemble prédéfini d’extensions de fichiers, le malware contient également des fonctionnalités permettant d’analyser périodiquement le réseau local et d’offrir un accès SSH.
« Infamous Chisel fournit également un accès à distance en configurant et en exécutant TOR avec un service caché qui transmet à un binaire Dropbear modifié fournissant une connexion SSH », a déclaré l’alliance de renseignement Five Eyes (FVEY).
Une brève description de chacun des modules est la suivante –
- net – Rassemblez et exfiltrez les informations de l’appareil compromis à intervalles définis, y compris à partir de répertoires et de navigateurs Web spécifiques aux applications.
- td – Fournir des services TOR
- goutte – Configurer les services Tor et vérifier la connectivité réseau (exécuté par netd)
- tcpdump – Utilitaire tcpdump légitime sans modifications
- tueur – Terminez le processus netd
- base de données – Contient plusieurs outils pour copier des fichiers et fournir un accès sécurisé au périphérique via le service caché TOR en utilisant une version modifiée de Dropbear
- NDBR – Un binaire multi-appels similaire à db qui se décline en deux versions pour pouvoir fonctionner sur les architectures CPU Arm (ndbr_armv7l) et Intel (ndbr_i686)
La persistance sur l’appareil est obtenue en remplaçant le démon netd légitime, responsable de la configuration du réseau sur Android, par une version malveillante, lui permettant d’exécuter des commandes en tant qu’utilisateur root.
« Les composants d’Infamous Chisel sont de sophistication faible à moyenne et semblent avoir été développés sans se soucier de l’évasion de la défense ou de la dissimulation d’activités malveillantes », ont indiqué les agences.
« La recherche de fichiers spécifiques et de chemins de répertoire liés aux applications militaires et l’exfiltration de ces données renforcent l’intention d’accéder à ces réseaux. Bien que les composants manquent de techniques de base d’obscurcissement ou de furtivité pour dissimuler l’activité, l’acteur a peut-être jugé cela comme inutile. , car de nombreux appareils Android ne disposent pas d’un système de détection basé sur l’hôte.
Cette évolution intervient alors que le Centre national de coordination de la cybersécurité d’Ukraine (NCSCC) a mis en lumière les tentatives de phishing d’un autre groupe de piratage soutenu par le Kremlin, connu sous le nom de Gamaredon (alias Aqua Blizzard, Shuckworm ou UAC-0010) pour siphonner des informations classifiées.
L’agence gouvernementale a déclaré que l’acteur menaçant, qui a ciblé l’Ukraine à plusieurs reprises depuis 2013, intensifie ses attaques contre les entités militaires et gouvernementales dans le but de récolter des données sensibles liées à ses opérations de contre-offensive contre les troupes russes.
« Gamaredon utilise des documents légitimes volés provenant d’organisations compromises pour infecter les victimes », a déclaré le NCSCC. « Gamaredon utilise des documents légitimes volés provenant d’organisations compromises pour infecter ses victimes. »
Le groupe a l’habitude d’abuser de Telegram et Telegraph en tant que résolveurs morts pour récupérer des informations relatives à son infrastructure de commande et de contrôle (C2), tout en exploitant un arsenal « complet » d’outils malveillants pour atteindre ses objectifs stratégiques.
Cela comprend GammaDrop, GammaLoad, GammaSteel, LakeFlash et Pterodo, dont le dernier est un outil polyvalent conçu pour l’espionnage et l’exfiltration de données.
« Sa polyvalence dans le déploiement de divers modules en fait une menace puissante, capable d’infiltrer et de compromettre les systèmes ciblés avec précision », a déclaré le NCSCC.
« Bien que Gamaredon ne soit peut-être pas le groupe de menace le plus avancé techniquement ciblant l’Ukraine, leurs tactiques présentent une évolution calculée. La fréquence croissante des attaques suggère une expansion de leur capacité opérationnelle et de leurs ressources. »
