Les pirates informatiques travaillant pour la Direction principale de l’état-major général des forces armées de la Fédération de Russie, plus communément connue sous le nom de GRU, ciblent les appareils Android en Ukraine avec un nouveau framework malveillant nommé « Infamous Chisel ».
La boîte à outils fournit aux pirates un accès dérobé via un service caché dans le réseau anonyme The Onion Router (Tor), leur permettant d’analyser les fichiers locaux, d’intercepter le trafic réseau et d’exfiltrer les données.
Le malware a été mis en évidence pour la première fois dans un avertissement du Service de sécurité ukrainien (SSU) au début du mois concernant les efforts du groupe de piratage Sandworm pour pénétrer les systèmes de commandement militaire.
Les rapports publiés aujourd’hui par le National Cyber Security Centre (NCSC) du Royaume-Uni et par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) approfondissent les détails techniques d’Infamous Chisel, montrant ses capacités et partageant des informations qui peuvent aider à se défendre contre lui.
Détails du fameux burin
Le NCSC décrit Infamous Chisel comme « un ensemble de composants qui permettent un accès persistant à un appareil Android infecté sur le réseau Tor, et qui rassemblent et exfiltrent périodiquement les informations sur les victimes des appareils compromis ».
Une fois qu’il infecte un appareil, le composant principal, « netd », qui contrôle un ensemble de commandes et de scripts shell, remplace le binaire légitime du système Android netd pour assurer la persistance.
Le malware cible les appareils Android et les analyse pour localiser les informations et les applications liées à l’armée ukrainienne afin de les envoyer aux serveurs de l’attaquant.
Un fichier caché (« .google.index ») assure le suivi des fichiers envoyés aux pirates informatiques à l’aide de hachages MD5 pour éviter les données en double. Cependant, la limite du système est de 16 384 fichiers, donc des doublons sont envoyés au-delà de ce point.
Infamous Chisel cible les extensions de fichiers dans l’image ci-dessous et les répertoires qu’il analyse incluent la mémoire interne de l’appareil et toutes les cartes SD disponibles.
Le répertoire /data/ d’Android est analysé pour des applications telles que Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsft One Cloud, Android Contacts et bien d’autres.
Le malware peut également collecter des informations sur le matériel, sonder le réseau local à la recherche de ports ouverts et d’hôtes actifs, et donner aux attaquants un accès à distance via SOCKS et une connexion SSH transmise via un domaine .ONION généré aléatoirement.
L’exfiltration des données des fichiers et des appareils a lieu toutes les 86 000 secondes, soit un jour, l’analyse du réseau local a lieu tous les deux jours et les données militaires les plus critiques sont siphonnées beaucoup plus fréquemment, toutes les 600 secondes, ce qui correspond à dix minutes.
La configuration et l’exécution des services Tor qui facilitent l’accès à distance ont lieu toutes les 6 000 secondes, et une vérification de la connectivité réseau sur le domaine « geodatatoo[.]com » a lieu toutes les 3 minutes.
Le NCSC note qu’Infamous Chisel n’est pas particulièrement furtif et semble viser une exfiltration rapide des données et une transition vers des réseaux militaires plus précieux.
L’agence affirme que les composants de la boîte à outils ne sont pas particulièrement sophistiqués (complexité faible à moyenne) et qu’ils semblent avoir été développés « sans se soucier de l’évasion de la défense ou de la dissimulation d’activités malveillantes ».
Le rapport du NCSC comprend un ensemble d’indicateurs de compromission, de règles et de signatures pour la détection