ClickCease Ciberataque Chisel Ucrania: Una agencia estadounidense revela una amenaza infame

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Ciberataque Chisel Ucrania: Una agencia estadounidense revela una amenaza infame

Wajahat Raja

11 de septiembre de 2023 - Equipo de expertos TuxCare

Las agencias de inteligencia de Estados Unidos (EE.UU.), Canadá, Australia, Nueva Zelanda y Reino Unido (RU) han colaborado recientemente para arrojar luz sobre el ciberataque Chisel Ucrania. Un informe de ciberseguridad estadounidense sobre el ataque Chisel ha revelado los hechos de una notoria cepa de malware móvil conocida como Infamous Chisel, que ha estado causando estragos en los dispositivos Android del ejército ucraniano.

 

Este software malévolo, vinculado a una entidad supuestamente patrocinada por el Estado ruso conocida como Sandworm, posee un conjunto de características maliciosas. Pueden ayudar a los atacantes a obtener acceso no autorizado a dispositivos comprometidos y permitirles escanear archivos, monitorizar el tráfico de red y robar información importante de forma invisible.

 

Encuentro de militares ucranianos con el infame cincel

 

En agosto, el Servicio de Seguridad de Ucrania (SBU) identificó componentes específicos de Infamous Chisel, poniendo al descubierto los intentos fallidos del adversario de entrar en las redes militares ucranianas. de entrar en las redes militares ucranianas y obtener información importante. En particular, las fuerzas rusas obtuvieron tabletas militares ucranianas y las utilizaron como plataforma de lanzamiento para transmitir malware de forma inalámbrica a otros dispositivos a través de la herramienta de línea de comandos Android Debug Bridge (ADB). Proteger a los militares ucranianos de las ciberamenazas se ha vuelto más crucial que nunca.

 

Conozca a Sandworm: El ciberataque Chisel Ucrania Culpable

 

Sandworm, el autor de Infamous Chisel, es una entidad de la Dirección Principal de Inteligencia (GRU) rusa que también se hace llamar FROZENBARENTS, Iron Viking, Seashell Blizzard y Voodoo Bear. Sandworm ha estado activo desde al menos 2014, haciéndose conocido por una serie de ciberataques disruptivos y dañinos utilizando malware como Industroyer, BlackEnergy y NotPetya..

 

En julio de 2023, Mandiant, propiedad de Google, llamó la atención sobre el hecho de que las actividades cibernéticas del GRU siguen un libro de jugadas sistemático que proporciona beneficios tácticos y estratégicos. Esto permite a los actores de las amenazas adaptarse rápidamente a un entorno de trabajo acelerado e intensamente competitivo, maximizando su velocidad, escala e intensidad a la vez que evitando sospechas.

 

Detalles y análisis del malware Chisel

 

Infamous Chisel es un complicado malware compuesto por numerosos componentes diseñados únicamente para permitir el acceso remoto y la exfiltración de datos desde teléfonos Android. Además de comprobar los dispositivos en busca de información y archivos con extensiones específicas, el malware también puede escanear la red local de forma regular y proporcionar acceso SSH. Esto pone de relieve la intensidad de las recientes ciberamenazas contra Ucrania.

 

Una característica interesante es su capacidad para proporcionar acceso remoto mediante la configuración y ejecución de TOR con un servicio oculto que reenvía a un binario Dropbear modificado, permitiendo al actor apuntar a servidores SSH. Cada módulo de Infamous Chisel realiza una función específica. Esto va desde la recopilación y exfiltración de datos hasta servicios TOR y acceso shell seguro al dispositivo infectado.

 

Para mantener vivo el dispositivo, Infamous Chisel sustituye el demonio netd oficial, que se encarga de la configuración de red en Androidpor una versión fraudulenta. Violación de la ciberseguridad militar en Ucrania. Este programa fraudulento permite a Infamous Chisel ejecutar comandos como usuario root. El procedimiento de exfiltración del malware se lleva a cabo de forma sistemática, con datos de archivos y dispositivos recopilados diariamente, datos militares vitales desviados cada 10 minutosy la red local se escanea cada dos días.

Sin complicaciones pero eficaz

A pesar de sus intenciones maliciosas, los componentes del ciberataque Chisel Ucrania son de sofisticación baja a media, sin medidas fundamentales de ofuscación o sigilo para enmascarar sus operaciones. Esto podría deberse a que muchos dispositivos Android carecen de sistemas de detección basados en host, lo que hace innecesario el camuflaje.

 

Surgimiento de Gamaredon: Otra amenaza para Ucrania

 

El impacto del ciberataque Chisel en la seguridad nacional se ha puesto de relieve en un acontecimiento relacionado. El Centro Nacional de Coordinación de la Ciberseguridad de Ucrania (NCSCC) ha descubierto las actividades de phishing de otro grupo de piratas informáticos respaldado por el Kremlin y conocido como Gamaredon (también conocido como Aqua Blizzard, Shuckworm o UAC-0010). Desde 2013, Gamaredon ha estado atacando activamente a Ucraniacon un énfasis renovado en las agencias militares y gubernamentales, con el fin de recopilar datos críticos relevantes para las operaciones de contraofensiva contra las fuerzas rusas.

 

La colaboración en ciberseguridad entre EE.UU. y Ucrania ha revelado que Gamaredon utiliza diversas estrategias para infectar a las víctimas. Esto incluye el uso de documentos auténticos robados a organizaciones comprometidas. Para acceder a información relevante para su infraestructura de mando y control, la banda utiliza Telegram y Telegraph como resolvedores de caídas muertas. El arsenal de malware de Gamaredon, que incluye GammaDrop, GammaLoad, GammaSteel, LakeFlash y Pterodo, permite la invasión y toma de control selectiva de sistemas.

 

Conclusión

 

Aunque Gamaredon no es el grupo de amenazas técnicamente más avanzado, su metódica evolución y la creciente frecuencia de ataques de ransomware indican que sus capacidades operativas y recursos se están expandiendo en el panorama ucraniano de ciberamenazas. El sitio ciberataque Chisel Ucrania pone de relieve la necesidad esencial de fuertes medidas de ciberseguridad tanto para los gobiernos como para las organizaciones que luchan por proteger los datos sensibles y mantener la integridad de sus operaciones en un entorno digital cada vez más peligroso.

Las fuentes de este artículo incluyen artículos en The Hacker News y Tech Monitor.

Resumen
Ciberataque Chisel Ucrania: Una agencia estadounidense revela una amenaza infame
Nombre del artículo
Ciberataque Chisel Ucrania: Una agencia estadounidense revela una amenaza infame
Descripción
Conozca el ciberataque Chisel Ucrania a medida que las agencias de ciberseguridad desvelan detalles críticos. Proteja ya sus sistemas frente a esta amenaza.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín