„Infamous Chisel“ yra komponentų rinkinys, kuris leidžia nuolat prisijungti prie užkrėsto „Android“ įrenginio per „Tor“ tinklą ir periodiškai surenka bei išsiunčia svarbią informaciją“, – rašė žvalgybos pareigūnai iš Jungtinės Karalystės, JAV, Kanados, Australijos ir Naujosios Zelandijos.
„Eksfiltruojama informacija yra sisteminės įrenginio informacijos, komercinių programų informacijos ir Ukrainos kariuomenei būdingų programų derinys“.
Rimta grėsmė
Ukrainos saugumo tarnyba pirmą kartą apie kenkėjišką programinę įrangą prabilo šio mėnesio pradžioje. Tada Ukrainos pareigūnai teigė, kad Ukrainos personalas „užkirto kelią Rusijos žvalgybos tarnyboms gauti prieigą prie slaptos informacijos, įskaitant ginkluotųjų pajėgų veiklą, gynybos pajėgų dislokavimą, jų techninį aprūpinimą ir kt.“
„Infamous Chisel“ įrenginyje pakeičia teisėtą sistemos komponentą, žinomą kaip „netd“, į kenkėjišką versiją. Be to, kad ši kenkėjiška programa gali veikti kiekvieną kartą iš naujo paleidus įrenginį.
Programa sukaupia informaciją apie įrenginį ir ieško failų, turinčių iš anksto nustatytą plėtinių rinkinį. Tada ji siunčia informaciją į Rusijos serverius iš karto arba kartą per dieną.
Eksfiltruodama dominančius failus, „Infamous Chisel“ naudoja TLS protokolą ir kietai užkoduotą IP adresą bei prievadą.
Vietinio IP adreso naudojimas greičiausiai yra mechanizmas, skirtas tinklo srautui perduoti per užkrėstame įrenginyje sukonfigūruotą VPN arba kitą saugų kanalą. Tai leistų eksfiltracijos srautui susilieti su numatytu šifruotu tinklo srautu.
Jei nepavyksta prisijungti prie vietinio IP ir prievado, kenkėjiška programinė įranga grįžta prie kietai užkoduotos srities, kuri išsprendžiama naudojant užklausą dns.google.
Ketvirtadienio pranešime agentūra teigė, kad šios kenkėjiškos programos komponentai yra žemo arba vidutinio sudėtingumo. Panašu, kad jie buvo sukurti skiriant mažai dėmesio kenkėjiškos veiklos slėpimui.
Šiems metodams atlikti reikia gerai išmanyti C++ kalbą, kad būtų galima atlikti pakeitimus, ir išmanyti „Linux“ autentifikavimo ir įkrovos mechanizmus.
Net ir nesant slėpimo funkcijų, šie komponentai kelia rimtą grėsmę dėl informacijos, kurią jie gali surinkti, poveikio.
Nežinoma, kaip kenkėjiška programa įdiegiama. Šio mėnesio pradžioje paskelbtame Ukrainos saugumo tarnybos patarime pareigūnai teigė, kad Rusijos personalas „mūšio lauke užvaldė ukrainietiškus planšetinius kompiuterius, siekdamas platinti kenkėjišką programinę įrangą ir piktnaudžiauti turima prieiga, kad įsiskverbtų į sistemą“.
Tiesa, pranešime teigiama, kad šią kenkėjišką programą sukūrė programišių grupė „Sandworm“. Tai viena labiausiai kvalifikuotų įsilaužėlių grupuočių pasaulyje, įvykdžiusi keletą destruktyviausių atakų istorijoje.
Ši grupė neabejotinai susijusi su 2017 m. vykdytomis „NotPetya“ atakomis – pasauliniu protrūkiu, kuris, kaip teigiama Baltųjų rūmų vertinime, sukėlė 10 mlrd. dolerių žalą ir tapo brangiausiu įsilaužimu istorijoje.
„Sandworm“ taip pat buvo galutinai susieta su įsilaužimais į Ukrainos elektros energijos tinklą, dėl kurių šalčiausiais 2016 m. mėnesiais ir 2017 m. buvo plačiai nutrauktas elektros energijos tiekimas.
