La Russie cible l’Ukraine avec une nouvelle porte dérobée Android, selon les agences de renseignement


L’unité de renseignement militaire russe cible les appareils Android ukrainiens avec « Infamous Chisel », le nom de suivi d’un nouveau malware conçu pour pirater les appareils et voler des informations critiques, ont annoncé jeudi les agences de renseignement occidentales.

« Infamous Chisel est un ensemble de composants qui permettent un accès persistant à un appareil Android infecté via le réseau Tor, et qui collectent et exfiltrent périodiquement les informations sur les victimes des appareils compromis », ont déclaré des responsables du renseignement du Royaume-Uni, des États-Unis, du Canada, de l’Australie et de la Nouvelle-Zélande. a écrit. « Les informations exfiltrées sont une combinaison d’informations sur les appareils du système, d’informations sur les applications commerciales et d’applications spécifiques à l’armée ukrainienne. »

Une « menace sérieuse »

Les services de sécurité ukrainiens ont d’abord signalé l’existence du malware au début du mois. Les responsables ukrainiens avaient alors déclaré que le personnel ukrainien avait « empêché les services de renseignement russes d’accéder à des informations sensibles, notamment sur l’activité des forces armées, le déploiement des forces de défense, leur fourniture technique, etc. »

Infamous Chisel gagne en persistance en remplaçant le composant légitime du système connu sous le nom de netd avec une version malveillante. En plus de permettre à Infamous Chisel de s’exécuter à chaque redémarrage d’un appareil, le programme malveillant netd est également le principal moteur du malware. Il utilise des scripts et des commandes shell pour rassembler et collecter des informations sur le périphérique et recherche également dans les répertoires des fichiers dotés d’un ensemble d’extensions prédéfinies. Selon l’endroit où se trouve le fichier collecté sur l’appareil infecté, netd l’envoie aux serveurs russes immédiatement ou une fois par jour.

Lors de l’exfiltration de fichiers d’intérêt, Infamous Chisel utilise le protocole TLS ainsi qu’une adresse IP et un port codés en dur. L’utilisation de l’adresse IP locale est probablement un mécanisme permettant de relayer le trafic réseau via un VPN ou un autre canal sécurisé configuré sur l’appareil infecté. Cela permettrait au trafic d’exfiltration de se fondre dans le trafic réseau crypté attendu. En cas d’échec d’une connexion à l’adresse IP et au port locaux, le logiciel malveillant revient à un domaine codé en dur qui est résolu à l’aide d’une requête adressée à dns.google.

Infamous Chisel installe également une version du client Dropbear SSH qui peut être utilisée pour accéder à distance à un appareil. La version installée dispose de mécanismes d’authentification qui ont été modifiés par rapport à la version originale pour changer la façon dont les utilisateurs se connectent à une session SSH.

Dans l’article de jeudi, les responsables ont écrit :

Les composants d’Infamous Chisel sont de sophistication faible à moyenne et semblent avoir été développés sans se soucier de l’évasion de la défense ou de la dissimulation d’activités malveillantes.

La recherche de fichiers et de chemins de répertoires spécifiques liés aux applications militaires et l’exfiltration de ces données renforcent l’intention d’accéder à ces réseaux. Bien que les composants ne disposent pas de techniques de base d’obscurcissement ou de furtivité pour dissimuler l’activité, l’acteur a peut-être jugé cela inutile, car de nombreux appareils Android ne disposent pas d’un système de détection basé sur l’hôte. Deux techniques intéressantes sont présentes dans Infamous Chisel :

  • le remplacement de l’exécutable légitime netd pour maintenir la persistance
  • la modification de la fonction d’authentification dans les composants qui incluent dropbear

Ces techniques nécessitent un bon niveau de connaissances en C++ pour effectuer les modifications et une connaissance des mécanismes d’authentification et de démarrage Linux.

Même sans fonctions de dissimulation, ces composants représentent une menace sérieuse en raison de l’impact des informations qu’ils peuvent collecter.

Le rapport ne précise pas comment le malware est installé. Dans l’avis des services de sécurité ukrainiens publié plus tôt ce mois-ci, des responsables ont déclaré que le personnel russe avait « capturé des tablettes ukrainiennes sur le champ de bataille, dans le but de propager des logiciels malveillants et d’abuser de l’accès disponible pour pénétrer dans le système ». On ne sait pas si c’était le vecteur.

Infamous Chisel, selon le rapport, a été créé par un acteur menaçant identifié sous le nom de Sandworm. Sandworm fait partie des groupes de piratage informatique les plus compétents et les plus féroces au monde, et il a été à l’origine de certaines des attaques les plus destructrices de l’histoire. Le groupe a été définitivement lié aux attaques par essuyeurs NotPetya de 2017, une épidémie mondiale qui, selon une évaluation de la Maison Blanche, a causé 10 milliards de dollars de dommages, ce qui en fait le piratage le plus coûteux de l’histoire. Sandworm a également été définitivement lié aux piratages du réseau électrique ukrainien qui ont provoqué des pannes généralisées au cours des mois les plus froids de 2016 et de nouveau en 2017.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*