Giovedì 31 agosto 2023 le agenzie di cyber security e di intelligence di Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti hanno reso noti i dettagli di un malware mobile, che ha come obiettivo i dispositivi Android utilizzati dall’esercito ucraino. Denominato “Infamous Chisel”, esso comprende un insieme di componenti che consentono l‘accesso persistente a un dispositivo Android infetto attraverso la rete Tor e che periodicamente raccolgono ed esfiltrano informazioni sulle vittime dei dispositivi compromessi, Le informazioni esfiltrate sono una combinazione di informazioni sul dispositivo di sistema, informazioni sulle applicazioni commerciali e applicazioni specifiche dell’esercito ucraino”.
Una “grave minaccia”
I servizi di sicurezza ucraini hanno segnalato per la prima volta l’esistenza del malware all’inizio del mese, quando informarono del fatto che il loro personale aveva “impedito ai servizi segreti russi di accedere a informazioni sensibili, tra cui l’attività delle forze armate, il dispiegamento delle forze di difesa, la loro fornitura tecnica, ecc.”.
Il malware si fa strada sostituendo il componente legittimo del sistema noto come netd con una versione dannosa. Oltre a consentire l’esecuzione del programma a ogni riavvio del dispositivo, il malware netd è anche il suo motore principale. Utilizza script e comandi di shell per raccogliere informazioni sul dispositivo e cerca anche nelle directory i file con una serie di estensioni predefinite. A seconda della posizione del file raccolto sul dispositivo infetto, netd lo invia ai server russi immediatamente o una volta al giorno. Durante l’esfiltrazione dei file di interesse, Infamous Chisel utilizza il protocollo TLS e un indirizzo IP e una porta codificati. L’uso dell’indirizzo IP locale è probabilmente un meccanismo di rilancio del traffico di rete attraverso una VPN o un altro canale sicuro configurato sul dispositivo infetto. Ciò consentirebbe al traffico di esfiltrazione di confondersi con il traffico di rete crittografato previsto. Se la connessione all’indirizzo IP e alla porta locali non riesce, il malware ritorna a un dominio codificato che viene risolto utilizzando una query a dns.google.
Controllo da remoto
Infamous Chisel installa anche una versione del client SSH Dropbear che può essere utilizzata per accedere in remoto a un dispositivo. La versione installata ha meccanismi di autenticazione che sono stati modificati rispetto alla versione originale per cambiare il modo in cui gli utenti si connettono a una sessione SSH. Il rapporto non specifica le modalità di installazione del malware. Nell’avviso dei servizi di sicurezza ucraini pubblicato all’inizio del mese, i funzionari avevano affermato che il personale russo aveva “catturato i tablet ucraini sul campo di battaglia, con l’obiettivo di diffondere il malware e abusare dell’accesso disponibile per penetrare nel sistema”. Non è noto se questo effettivamente sia il vettore utilizzato per la sua diffusione.
Chi c’è dietro la minaccia
Infamous Chisel, secondo il rapporto, è stato creato da un attore di minacce identificato come Sandworm, che è uno dei gruppi di hacker più abili e agguerriti al mondo e si è reso protagonista di alcuni degli attacchi più distruttivi della storia. Il gruppo è stato definitivamente collegato agli attacchi NotPetya del 2017, un’epidemia globale che, secondo una valutazione della Casa Bianca, ha causato danni per 10 miliardi di dollari, diventando così l’hacking più costoso della storia. Sandworm è stato anche definitivamente collegato agli attacchi alla rete elettrica ucraina che hanno causato blackout diffusi durante i mesi più freddi del 2016 e di nuovo nel 2017.
