Agencias de inteligencia y ciberseguridad de Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos revelaron el jueves detalles de una variedad de malware móvil dirigido a dispositivos Android utilizados por el ejército ucraniano.
El software malicioso, denominado Infamous Chisel y atribuido a un actor patrocinado por el estado ruso llamado Sandworm, tiene capacidades para «permitir el acceso no autorizado a dispositivos comprometidos, escanear archivos, monitorear el tráfico y robar periódicamente información confidencial».
Algunos aspectos del malware fueron descubiertos por el Servicio de Seguridad de Ucrania (SBU) a principios de agosto, destacando intentos fallidos por parte del adversario de penetrar las redes militares ucranianas y recopilar información valiosa.
Se dice que las fuerzas rusas capturaron tabletas utilizadas por Ucrania en el campo de batalla, usándolas como punto de apoyo para difundir remotamente el malware a otros dispositivos mediante la herramienta de línea de comandos Android Debug Bridge (ADB).
Sandworm, también conocido con los nombres FROZENBARENTS, Iron Viking, Seashell Blizzard y Voodoo Bear, se refiere al Centro Principal de Tecnologías Especiales (GTsST) de la Dirección Principal de Inteligencia de Rusia (GRU).
Activo desde al menos 2014, el equipo de hackers es mejor conocido por su serie de campañas cibernéticas disruptivas y destructivas que utilizan malware como Industroyer, BlackEnergy y NotPetya.
En julio de 2023, Mandiant, propiedad de Google, dijo que las operaciones cibernéticas maliciosas de GRU se ajustan a un manual que ofrece beneficios tácticos y estratégicos, lo que permite a los actores de amenazas adaptarse rápidamente a un «entorno operativo trepidante y altamente disputado» y al mismo tiempo tiempo maximizan su velocidad, escala e intensidad sin ser detectados.
Infamous Chisel se describe como una colección de múltiples componentes diseñados con la intención de permitir el acceso remoto y extraer información de los teléfonos Android.
Además de escanear los dispositivos en busca de información y archivos que coincidan con un conjunto predefinido de extensiones de archivo, el malware también contiene una funcionalidad para escanear periódicamente la red local y ofrecer acceso SSH.
«Infamous Chisel también proporciona acceso remoto configurando y ejecutando TOR con un servicio oculto que reenvía a un binario Dropbear modificado que proporciona una conexión SSH», dijo la alianza de inteligencia Five Eyes (FVEY).
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.
Conocer..
La persistencia en el dispositivo se logra reemplazando el demonio netd legítimo, responsable de la configuración de la red en Android, por una versión fraudulenta, que le permite ejecutar comandos como usuario root.
En cuanto a la frecuencia de las exfiltración, la recopilación de datos de archivos y dispositivos se realiza todos los días, mientras que la información militar confidencial se extrae cada 10 minutos. La red de área local se escanea una vez cada dos días.
«Los componentes de Infamous Chisel son de baja a media sofisticación y parecen haber sido desarrollados teniendo poco en cuenta la evasión de defensa o el ocultamiento de actividad maliciosa», dijeron las agencias.
«La búsqueda de archivos específicos y rutas de directorio que se relacionan con aplicaciones militares y la exfiltración de estos datos refuerza la intención de obtener acceso a estas redes. Aunque los componentes carecen de técnicas básicas de ofuscación o sigilo para disfrazar la actividad, el actor puede haber considerado que esto no era necesario, ya que muchos dispositivos Android no tienen un sistema de detección basado en host».
El desarrollo se produce cuando el Centro Nacional de Coordinación de Ciberseguridad de Ucrania (NCSCC) arrojó luz sobre los esfuerzos de phishing de otro equipo de piratería respaldado por el Kremlin conocido como Gamaredon (también conocido como Aqua Blizzard, Shuckworm o UAC-0010) para desviar información clasificada.
La agencia gubernamental dijo que el actor de amenazas, que ha atacado repetidamente a Ucrania desde 2013, está intensificando los ataques contra entidades militares y gubernamentales con el objetivo de recopilar datos confidenciales relacionados con sus operaciones de contraofensiva contra las tropas rusas.
«Gamaredon utiliza documentos legítimos robados de organizaciones comprometidas para infectar a las víctimas», dijo NCSCC . «Gamaredon utiliza documentos legítimos robados de organizaciones comprometidas para infectar a las víctimas».
El grupo tiene un historial de abuso de Telegram y Telegraph como solucionadores de entregas muertas para recuperar información relacionada con su infraestructura de comando y control (C2), mientras aprovecha un arsenal «completo» de herramientas de malware para cumplir con sus objetivos estratégicos.
Esto incluye GammaDrop, GammaLoad, GammaSteel, LakeFlash y Pterodo, el último de los cuales es una herramienta multipropósito perfeccionada para el espionaje y la filtración de datos.
«Su versatilidad en el despliegue de varios módulos lo convierte en una amenaza potente, capaz de infiltrarse y comprometer sistemas específicos con precisión», dijo NCSCC.
«Si bien Gamaredon puede no ser el grupo de amenazas técnicamente más avanzado que apunta a Ucrania, sus tácticas exhiben una evolución calculada. La creciente frecuencia de los ataques sugiere una expansión de su capacidad operativa y de sus recursos».
Fuente: thehackernews
