针对乌克兰军方Android设备的恶意软件可扫描窃取军事机密

最近的网络安全观察中发现，澳大利亚、加拿大、新西兰、英国和美国的网络安全和情报机构披露了针对乌克兰军方使用的 Android 设备的移动恶意软件样本的详细信息。

这种恶意软件被称为Inknown Chisel，由俄罗斯国家资助的 Sandworm 发起，它具有允许未经授权访问受感染设备、扫描文件、监控流量并定期窃取敏感信息的能力。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，乌克兰安全局 (SBU) 于 8 月初发现了该恶意软件的某些方面，突显出部分对手试图渗透乌克兰军事网络并收集有价值情报的失败尝试。

据称，俄罗斯军队缴获了乌克兰在战场上使用的平板电脑，并以此为据点，通过Android调试 ADB 命令行工具将恶意软件远程传播到其他设备。

Sandworm，也被称为 FROZENBARENTS、Iron Viking、Seashell Blizzard 和 Voodoo Bear，指的是俄罗斯情报总局 (GRU) 特种技术主要中心 (GTsST)。

该黑客组织至少从 2014 年开始活跃，以其使用 Industroyer、BlackEnergy 和 NotPetya 等恶意软件进行的一系列破坏性和破坏性网络活动而闻名。

2023 年 7 月，谷歌旗下的 Mandiant表示，GRU 的恶意网络行动遵循提供战术和战略优势的剧本，使威胁行为者能够迅速适应快节奏且竞争激烈的运营环境，同时时间最大化它们的速度、规模和强度而不被发现。

Inknown Chisel 被描述为多个组件的集合，其设计目的是实现远程访问并从 Android 手机中窃取信息。

除了扫描设备中与一组预定义文件扩展名匹配的信息和文件外，该恶意软件还包含定期扫描本地网络并提供 SSH 访问的功能。

臭名昭著的 Chisel 还通过配置和执行具有隐藏服务的 TOR 来提供远程访问，该隐藏服务转发到提供 SSH 连接的修改后的 Dropbear 二进制文件。

每个模块的简要描述如下：

• netd – 按设定的时间间隔从受感染设备中整理和窃取信息，包括从特定于应用程序的目录和 Web 浏览器中获取信息。
• td – 提供 TOR 服务。
• blob – 配置 Tor 服务并检查网络连接（由 netd 执行）。
• tcpdump -未经修改的合法tcpdump 实用程序。
• Killer – 终止 netd 进程。
• db – 包含多个工具来复制文件并使用 Dropbear 的修改版本通过 TOR 隐藏服务提供对设备的安全 shell 访问。
• NDBR – 类似于 db 的多调用二进制文件，有两种版本，能够在 Arm (ndbr_armv7l) 和 Intel (ndbr_i686) CPU 架构上运行。

设备上的持久性是通过将合法的 netd 守护进程（负责 Android 上的网络配置）替换为流氓版本来实现的，使其能够以 root 用户身份执行命令。

就泄露频率而言，文件和设备数据的编译每天都会发生，而敏感的军事信息每10分钟就会被窃取一次。局域网每两天扫描一次。

搜索与军事应用相关的特定文件和目录路径以及泄露这些数据强化了访问这些网络的意图。尽管这些组件缺乏基本的混淆或隐形技术来伪装活动，但攻击者可能认为这没有必要，因为许多 Android 设备没有基于主机的检测系统。

这一进展正值乌克兰国家网络安全协调中心 (NCSCC) 揭露了另一个克里姆林宫支持的黑客组织Gamaredon（又名 Aqua Blizzard、Shuckworm 或 UAC-0010）窃取机密信息的网络钓鱼活动。

该政府机构表示，该威胁组织自 2013 年以来多次针对乌克兰，并加大了对军事和政府实体的攻击力度，目的是收集与其针对俄罗斯军队的反攻行动有关的敏感数据。

极牛攻防实验室表示，Chisel部署各种模块的多功能性使其成为潜在威胁，能够精确渗透和破坏目标系统。虽然 Gamaredon 可能不是针对乌克兰的技术最先进的威胁组织，但他们的战术表现出精心策划的演变。攻击频率的不断增加表明他们的行动能力和资源有所扩大。