Af Eskil Sørensen, 01/09/23
Efterretningsalliancen Five Eyes Agencies med Storbritannien, Australien, Canada, New Zealand og USA støtter nu officielt Ukraines påstand om, at malwaren Infamous Chisel stammer fra generalstaben for de væbnede styrker af Den Russiske Føderation (GRU).
Det skriver Infosecurity Magazine på baggrund af en rapport fra Storbritanniens National Cyber Security Center (NCSC), hvor malwaren er blevet analyseret.
Det kommer næppe som en overraskelse, at de fem landes efterretningstjenester støtter Ukraine. Mere overraskende er det nok, at ’Infamous Chisel’ gør det muligt at opnå uautoriseret adgang til kompromitterede Android-enheder, der bruges af det ukrainske militær over Tor-netværket.
Malwaren er designet til at scanne filer, overvåge trafik og med ’jævne mellemrum’ stjæle følsomme oplysninger. Angiveligt er den eksfiltrerede information en kombination af systemenhedsoplysninger, kommercielle applikationsoplysninger og applikationer, der er specifikke for det ukrainske militær.
Malwaren giver også fjernadgang ved at konfigurere og afvikle Tor med en skjult tjeneste, der videresender til en modificeret Dropbear-binær, der giver en SSH-forbindelse.
Sandworm og GRU
Det fremgår i rapporten, at alliancen har kendskab til, at trusselsaktøren Sandworm (som tidligere er blevet knyttet til den russiske GRUs hovedcenter for særlige teknologier GTsST) har brugt en ny mobil malware i en kampagne rettet mod Android-enheder brugt af det ukrainske militær. Det er dette, som er enslydende med Ukraines sikkerhedstjenestes (SBU) anklager fra tidligere i august, hvor Infamous Chisel første gang blev nævnt.
Links:
https://www.infosecurity-magazine.com/news/gru-infamous-chisel-malware/