ClickCease Chisel Cyberattacke Ukraine: US-Agentur enthüllt berüchtigte Bedrohung

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Chisel Cyberattacke Ukraine: US-Agentur enthüllt berüchtigte Bedrohung

Wajahat Raja

11. September 2023. TuxCare-Expertenteam

Geheimdienste aus den Vereinigten Staaten (USA), Kanada, Australien, Neuseeland und dem Vereinigten Königreich (UK) haben kürzlich zusammengearbeitet, um Licht in die Chisel-Cyberattacke Ukraine. US-Cybersicherheitsbericht über Chisel-Angriff hat die Fakten einer berüchtigten mobilen Malware namens Infamous Chisel aufgedeckt, die auf den Android-Geräten des ukrainischen Militärs Schaden angerichtet hat. Android-Geräte des ukrainischen Militärs.

 

Diese bösartige Software, die mit einer angeblich vom russischen Staat gesponserten Organisation namens Sandworm in Verbindung gebracht wird, verfügt über eine Reihe von bösartigen Funktionen. Sie können Angreifern helfen unbefugten Zugang zu kompromittierten Geräten und ermöglichen es ihnen, Dateien zu scannen, den Netzwerkverkehr zu überwachen und wichtige Informationen unsichtbar zu stehlen.

 

Die Begegnung des ukrainischen Militärs mit dem berüchtigten Meißel

 

Im August identifizierte der ukrainische Sicherheitsdienst (SBU) bestimmte Komponenten von Infamous Chisel und entlarvte damit die erfolglosen Versuche des Gegners Versuche, in ukrainische Militärnetzwerke einzudringen und wichtige Informationen zu erhalten. Besonders bemerkenswert, Die russischen Streitkräfte erlangten ukrainische Militär-Tablets und nutzten sie als Ausgangspunkt für die drahtlose Übertragung von Malware auf andere Geräte über das Befehlszeilentool Android Debug Bridge (ADB). Der Schutz des ukrainischen Militärs vor Cyber-Bedrohungen ist daher wichtiger denn je geworden.

 

Treffen Sie Sandworm: Die Chisel Cyberattacke Ukraine Schuldige

 

Sandworm, der Urheber von Infamous Chisel, ist eine russische GRU-Einheit, die auch unter den Bezeichnungen FROZENBARENTS, Iron Viking, Seashell Blizzard und Voodoo Bear bekannt ist. Sandworm ist seit mindestens 2014 aktiv und wurde durch eine Reihe von störenden und schädlichen Cyberangriffen bekannt, bei denen Malware wie Industroyer, BlackEnergy und NotPetya.

 

Im Juli 2023 wies das Google-eigene Unternehmen Mandiant darauf hin, dass die Cyber-Aktivitäten des GRU nach einem systematischen Spielbuch das taktische und strategische Vorteile bietet. Dies ermöglicht es den Bedrohungsakteuren, sich schnell an ein schnelles und wettbewerbsintensives Arbeitsumfeld anzupassen, ihre Geschwindigkeit, ihren Umfang und ihre Intensität zu maximieren und gleichzeitig keinen Verdacht zu erregen.

 

Details und Analyse der Chisel-Malware

 

Infamous Chisel ist eine komplizierte Malware, die sich aus zahlreichen Komponenten zusammensetzt und ausschließlich dazu dient, Fernzugriff und Datenexfiltration von Android-Telefonen zu ermöglichen. Neben der Überprüfung von Geräten auf Informationen und Dateien mit bestimmten Erweiterungen kann die Malware auch das lokale Netzwerk regelmäßig scannen und SSH-Zugang gewähren. Dies verdeutlicht die Intensität der der jüngsten Cyber-Bedrohungen gegen die Ukraine.

 

Ein interessantes Merkmal ist die Fähigkeit, Fernzugriff zu ermöglichen, indem TOR mit einem versteckten Dienst eingerichtet und ausgeführt wird, der an eine modifizierte Dropbear-Binärdatei weiterleitet, die es dem Akteur ermöglicht, auf SSH-Server. Jedes Modul von Infamous Chisel führt eine bestimmte Funktion aus. Dies reicht von der Datenerfassung und -exfiltration bis hin zu TOR-Diensten und sicherem Shell-Zugriff auf das infizierte Gerät.

 

Um das Gerät am Leben zu erhalten, ersetzt Infamous Chisel den offiziellen netd-Daemon, der für die Netzwerkeinrichtung unter Android zuständig istmit einer abtrünnigen Version in diesem Cyber-Sicherheitslücke beim ukrainischen Militär. Dieses Programm gibt Infamous Chisel die Möglichkeit, Befehle als Root-User auszuführen. Die Exfiltration durch die Malware erfolgt systematisch, wobei täglich Datei- und Gerätedaten gesammelt und wichtige militärische Daten abgeschöpft werden alle 10 Minutenund das lokale Netzwerk wird alle zwei Tage gescannt.

Unkompliziert und doch wirkungsvoll

Trotz ihrer bösartigen Absichten sind die Komponenten des Chisel-Cyberangriffs auf die Ukraine von geringer bis mittlerer Komplexität, ohne grundlegende Verschleierungs- oder Stealth-Maßnahmen zur Verschleierung ihrer Operationen. Dies könnte daran liegen, dass viele Android-Geräte über keine hostbasierten Erkennungssysteme verfügen, was eine Verschleierung unnötig macht.

 

Auftauchen von Gamaredon: Eine weitere Bedrohung für die Ukraine

 

Die Auswirkungen des Chisel-Cyberangriffs auf die nationale Sicherheit wurde durch eine verwandte Entwicklung hervorgehoben. Das Nationale Zentrum für die Koordinierung der Cybersicherheit der Ukraine (NCSCC) hat die Phishing-Aktivitäten einer anderen vom Kreml unterstützten Hackergruppe entdeckt, die als Gamaredon (auch bekannt als Aqua Blizzard, Shuckworm oder UAC-0010). Seit 2013, hat Gamaredon die Ukraine aktiv ins Visier genommenGamaredon hat seit 2013 aktiv die Ukraine ins Visier genommen, wobei der Schwerpunkt erneut auf Militär- und Regierungsbehörden lag, um wichtige Daten für Gegenoffensiven gegen die russischen Streitkräfte zu sammeln.

 

Zusammenarbeit zwischen den USA und der Ukraine im Bereich der Cybersicherheit hat aufgedeckt, dass Gamaredon eine Vielzahl von Strategien einsetzt, um seine Opfer zu infizieren. Dazu gehört die Verwendung gestohlener echter Papiere von kompromittierten Organisationen. Um an Informationen zu gelangen, die für ihre Kommando- und Kontrollinfrastruktur relevant sind, nutzt die Bande nutzt Telegram und Telegraph als Dead-Drop-Resolver. Das Malware-Arsenal von Gamaredon, zu dem GammaDrop, GammaLoad, GammaSteel, LakeFlash und Pterodo gehören, ermöglicht gezielte Systeminvasionen und -übernahmen.

 

Schlussfolgerung

 

Gamaredon ist zwar nicht die technisch fortschrittlichste Bedrohungsgruppe, aber ihre methodische Entwicklung und die zunehmende Häufigkeit von Ransomware-Angriffe Ransomware-Angriffe deuten darauf hin, dass sich ihre operativen Fähigkeiten und Ressourcen in der Cyber-Bedrohungslandschaft der Ukraine. Die Chisel-Cyberangriff auf die Ukraine unterstreicht die grundlegende Notwendigkeit von starke Cybersicherheitsmaßnahmen sowohl für Regierungen als auch für Organisationen, die in einem zunehmend gefährlichen digitalen Umfeld um den Schutz sensibler Daten und die Aufrechterhaltung der Integrität ihrer Abläufe kämpfen.

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Tech Monitor.

Zusammenfassung
Chisel Cyberattacke Ukraine: US-Agentur enthüllt berüchtigte Bedrohung
Artikel Name
Chisel Cyberattacke Ukraine: US-Agentur enthüllt berüchtigte Bedrohung
Beschreibung
Erfahren Sie mehr über den Chisel-Cyberangriff in der Ukraine, da Cybersecurity-Agenturen wichtige Details enthüllen. Schützen Sie Ihre Systeme jetzt vor dieser Bedrohung.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter