Gli hacker che lavorano per la Direzione Principale dello Stato Maggiore delle Forze Armate della Federazione Russa, comunemente conosciuta come GRU, stanno prendendo di mira i dispositivi Android in Ucraina con un nuovo framework malevolo chiamato “Infamous Chisel”.
Dettagli sul malware “Infamous Chisel”
Questo toolkit fornisce agli hacker un accesso backdoor attraverso un servizio nascosto nella rete di anonimato The Onion Router (Tor), permettendo loro di analizzare i file locali, intercettare il traffico di rete e esfiltrare dati. Il malware è stato inizialmente evidenziato in un avviso del Servizio di Sicurezza Ucraino (SSU) all’inizio di questo mese riguardo agli sforzi del gruppo di hacker Sandworm per penetrare nei sistemi di comando militare.
Rapporti e capacità tecniche
Rapporti odierni provenienti dal National Cyber Security Center del Regno Unito (NCSC) e dall’agenzia statunitense Cybersecurity and Infrastructure Security Agency (CISA) approfondiscono i dettagli tecnici di Infamous Chisel, mostrando le sue capacità e condividendo informazioni che possono aiutare a difendersi da esso.
Come funziona “Infamous Chisel”
Il NCSC descrive Infamous Chisel come “una raccolta di componenti che consentono un accesso persistente a un dispositivo Android infetto attraverso la rete Tor”. Una volta infettato un dispositivo, il componente principale, ‘netd’, sostituisce il binario di sistema Android legittimo per ottenere persistenza. Il malware prende di mira i dispositivi Android e li analizza per individuare informazioni e applicazioni relative al militare ucraino, inviandole ai server dell’attaccante.
Altre funzionalità e frequenza di attività
Il malware può anche raccogliere informazioni sull’hardware, sondare la rete locale alla ricerca di porte aperte e host attivi, e fornire agli aggressori un accesso remoto tramite SOCKS e una connessione SSH passata attraverso un dominio .ONION generato casualmente. L’esfiltrazione dei dati avviene ogni 86.000 secondi, la scansione della LAN ogni due giorni e i dati militari più critici vengono sifonati molto più frequentemente, ogni 600 secondi.
Valutazione del NCSC
Il NCSC osserva che Infamous Chisel non è particolarmente furtivo e sembra mirare a una rapida esfiltrazione dei dati e a passare a reti militari più preziose. L’agenzia afferma che i componenti del toolkit non sono particolarmente sofisticati e sembrano essere stati sviluppati senza particolare attenzione all’evasione della difesa o alla dissimulazione dell’attività malevola.
