Cyberattaque Chisel en Ukraine : Une agence américaine révèle une menace infâme
Les services de renseignement des États-Unis, du Canada, de l'Australie, de la Nouvelle-Zélande et du Royaume-Uni ont récemment collaboré pour faire la lumière sur la cyberattaque "Chisel" menée par l'Ukraine. cyberattaque Chisel en Ukraine. Un rapport de cybersécurité américain sur l'attaque Chisel a révélé les faits relatifs à une célèbre souche de logiciel malveillant mobile connue sous le nom d'Infamous Chisel, qui a causé des ravages sur les appareils Android de l'armée ukrainienne. appareils Android de l'armée ukrainienne.
Ce logiciel malveillant, lié à une entité prétendument parrainée par l'État russe et connue sous le nom de Sandworm, possède un ensemble de fonctionnalités malveillantes. Celles-ci peuvent aider les attaquants à obtenir accès non autorisé à des appareils compromis et leur permettre d'analyser des fichiers, de surveiller le trafic réseau et de voler des informations importantes de manière invisible.
Rencontre de l'armée ukrainienne avec le célèbre ciseau à bois
En août, le Service de sécurité ukrainien (SBU) a identifié des composants spécifiques d'Infamous Chisel, révélant les tentatives infructueuses de l'adversaire pour s'introduire dans les réseaux militaires ukrainiens. d'entrer dans les réseaux militaires ukrainiens et d'obtenir et d'obtenir d'importants renseignements. Notamment, les forces russes ont obtenu des tablettes militaires ukrainiennes et les ont utilisées comme rampe de lancement pour transmettre sans fil des logiciels malveillants à d'autres appareils via l'outil de ligne de commande ADB (Android Debug Bridge). La protection de l'armée ukrainienne contre les cybermenaces est donc devenue plus cruciale que jamais.
Rencontre avec Sandworm : La cyberattaque Chisel en Ukraine Coupable
Sandworm, l'auteur d'Infamous Chisel, est une entité de la Direction principale du renseignement russe (GRU) qui se présente également sous les identités FROZENBARENTS, Iron Viking, Seashell Blizzard et Voodoo Bear. Sandworm est actif depuis au moins 2014 et s'est fait connaître par une série de cyber-attaques perturbatrices et préjudiciables utilisant des logiciels malveillants tels que Industroyer, BlackEnergy et NotPetya.
En juillet 2023, la société Mandiant, propriété de Google, a attiré l'attention sur le fait que les activités cybernétiques du GRU suivent un manuel de jeu systématique qui présente des avantages tactiques et stratégiques. Cela permet aux acteurs de la menace de s'adapter rapidement à un environnement de travail rapide et intensément compétitif, en maximisant leur vitesse, leur échelle et leur intensité tout en en évitant les soupçons.
Détails et analyse du logiciel malveillant Chisel
Infamous Chisel est un logiciel malveillant complexe composé de nombreux éléments conçus uniquement pour permettre l'accès à distance et l'exfiltration de données à partir de téléphones Android. Outre la recherche d'informations et de fichiers avec des extensions spécifiques sur les appareils, le logiciel malveillant peut également analyser régulièrement le réseau local et fournir un accès SSH. Cela met en évidence l'intensité des récentes cybermenaces contre l'Ukraine.
Une caractéristique intéressante est sa capacité à fournir un accès à distance en configurant et en exécutant TOR avec un service caché qui transmet à un binaire Dropbear modifié, ce qui permet à l'acteur de cibler des les serveurs SSH. Chaque module d'Infamous Chisel remplit une fonction spécifique. Cela va de la collecte et de l'exfiltration de données aux services TOR et à l'accès shell sécurisé à l'appareil infecté.
Pour maintenir l'appareil en vie, Infamous Chisel remplace le démon officiel netd, qui est en charge de la configuration du réseau sur Androidpar une version pirate dans ce fichier. Brèche dans la cybersécurité de l'armée ukrainienne. Ce programme malveillant permet à Infamous Chisel d'exécuter des commandes en tant qu'utilisateur root. La procédure d'exfiltration du logiciel malveillant est systématique : les données des fichiers et des appareils sont collectées quotidiennement, les données militaires vitales sont siphonnées toutes les 10 minuteset le réseau local est scanné tous les deux jours.
Simple mais efficace
Malgré leur intention malveillante, les éléments de la cyberattaque Chisel Ukraine sont d'une sophistication faible à moyenne, sans mesures fondamentales d'obscurcissement ou de furtivité pour masquer leurs opérations. Cela pourrait s'expliquer par le fait que de nombreux appareils Android sont dépourvus de systèmes de détection basés sur l'hôte, ce qui rend le camouflage inutile.
L'émergence de Gamaredon : Une autre menace pour l'Ukraine
L'impact de la cyberattaque Chisel sur la sécurité nationale a été mis en évidence dans un développement connexe. Le Centre national ukrainien de coordination de la cybersécurité (NCSCC) a découvert les activités d'hameçonnage d'un autre groupe de pirates informatiques soutenu par le Kremlin, connu sous le nom de Gamaredon (également connu sous le nom d'Aqua Blizzard, Shuckworm ou UAC-0010). Depuis 2013, Gamaredon cible activement l'UkraineEn 2013, Gamaredon a ciblé activement l'Ukraine, en mettant l'accent sur les agences militaires et gouvernementales, afin de recueillir des données essentielles pour les opérations de contre-offensive contre les forces russes.
collaboration américano-ukrainienne en matière de cybersécurité a révélé que Gamaredon utilise diverses stratégies pour infecter les victimes. Il utilise notamment des documents authentiques volés à des organisations compromises. Pour accéder aux informations utiles à son infrastructure de commandement et de contrôle, le gang utilise Telegram et Telegraph comme résolveurs de points morts. L'arsenal de logiciels malveillants de Gamaredon, qui comprend GammaDrop, GammaLoad, GammaSteel, LakeFlash et Pterodo, permet une invasion et une prise de contrôle ciblées des systèmes.
Conclusion
Bien que Gamaredon ne soit pas le groupe de menace le plus avancé sur le plan technique, son évolution méthodique et la fréquence croissante de ses attaques par ransomware indiquent que ses capacités opérationnelles et ses ressources se développent dans le paysage de la cybermenace en Ukraine. paysage ukrainien des cybermenaces. La cyberattaque cyberattaque Chisel en Ukraine met en évidence la besoin essentiel de de mesures de cybersécurité solides pour les gouvernements et les organisations qui s'efforcent de protéger les données sensibles et de maintenir l'intégrité de leurs opérations dans un environnement numérique de plus en plus dangereux.
Les sources de cet article comprennent des articles dans The Hacker News et Tech Monitor.