Ciberseguridad 360 | Malware ruso ataca a militares ucranianos

Agencias de ciberseguridad e inteligencia de Australia, Canad�, Nueva Zelanda, Reino Unido y Estados Unidos revelaron el jueves detalles de una cepa de malware m�vil dirigida a dispositivos Android utilizados por el ej�rcito ucraniano.

El software malicioso, apodado Infamous Chisel y atribuido a un actor ruso patrocinado por el Estado llamado Sandworm, tiene capacidades para "permitir el acceso no autorizado a dispositivos comprometidos, escanear archivos, monitorizar el tr�fico y robar peri�dicamente informaci�n sensible".

Algunos aspectos del malware fueron descubiertos por el Servicio de Seguridad de Ucrania (SBU) a principios de agosto, poniendo de relieve los intentos infructuosos por parte de los adversarios de penetrar en las redes militares ucranianas y recopilar valiosa informaci�n de inteligencia.

Sandworm, tambi�n conocido por los nombres de FROZENBARENTS, Iron Viking, Seashell Blizzard y Voodoo Bear, hace referencia al Centro Principal de Tecnolog�as Especiales (GTsST) de la Direcci�n General de Inteligencia rusa (GRU).

Activo desde al menos 2014, el equipo de piratas inform�ticos es m�s conocido por su serie de campa�as cibern�ticas destructivas y perturbadoras que utilizan malware como Industroyer, BlackEnergy y NotPetya.

En julio de 2023, Mandiant, propiedad de Google, afirm� que las operaciones cibern�ticas maliciosas de GRU se adhieren a un libro de jugadas que ofrece ventajas t�cticas y estrat�gicas, lo que permite a los actores de la amenaza adaptarse r�pidamente a un "entorno operativo de ritmo r�pido y altamente disputado" y, al mismo tiempo, maximizar la velocidad, la escala y la intensidad sin ser detectados.

Infamous Chisel se describe como una colecci�n de m�ltiples componentes dise�ados con la intenci�n de permitir el acceso remoto y extraer informaci�n de tel�fonos Android.

Adem�s de escanear los dispositivos en busca de informaci�n y archivos que coincidan con un conjunto predefinido de extensiones de archivo, el malware tambi�n contiene funcionalidades para escanear peri�dicamente la red local y ofrecer acceso SSH.

"Infamous Chisel tambi�n proporciona acceso remoto configurando y ejecutando TOR con un servicio oculto que reenv�a a un binario Dropbear modificado que proporciona una conexi�n SSH", afirm� la alianza de inteligencia Five Eyes (FVEY).

Una breve descripci�n de cada uno de los m�dulos es la siguiente:

netd - Recopilan y extraen informaci�n del dispositivo comprometido a intervalos determinados, incluso de directorios espec�ficos de aplicaciones y navegadores web.

td - Proporcionar servicios TOR

blob - Configurar servicios Tor y comprobar la conectividad de red (ejecutado por netd)

tcpdump - Utilidad tcpdump leg�tima sin modificaciones

killer - Termina el proceso netd

db - Contiene varias herramientas para copiar archivos y proporcionar acceso shell seguro al dispositivo a trav�s del servicio oculto TOR utilizando una versi�n modificada de Dropbear

NDBR - Un binario multi-llamada similar a db que viene en dos sabores para poder ejecutarse en arquitecturas de CPU Arm (ndbr_armv7l) e Intel (ndbr_i686)

La persistencia en el dispositivo se logra mediante la sustituci�n del demonio netd leg�timo, que es responsable de la configuraci�n de red en Android, con una versi�n falsa, lo que le permite ejecutar comandos como usuario root.

"Los componentes de Infamous Chisel son de sofisticaci�n baja a media y parecen haber sido desarrollados con poca consideraci�n a la evasi�n de la defensa o la ocultaci�n de la actividad maliciosa", dijeron las agencias.

"La b�squeda de archivos espec�ficos y rutas de directorios relacionados con aplicaciones militares y la exfiltraci�n de estos datos refuerza la intenci�n de obtener acceso a estas redes. Aunque los componentes carecen de t�cnicas b�sicas de ofuscaci�n o sigilo para disfrazar la actividad, el actor puede haber considerado que esto no era necesario, ya que muchos dispositivos Android no tienen un sistema de detecci�n basado en host."

La noticia llega cuando el Centro Nacional de Coordinaci�n de la Ciberseguridad de Ucrania (NCSCC) ha revelado los intentos de phishing de otra organizaci�n de hacking respaldada por el Kremlin y conocida como Gamaredon (tambi�n conocida como Aqua Blizzard, Shuckworm o UAC-0010) para desviar informaci�n clasificada.

La agencia gubernamental dijo que el actor de amenazas, que ha atacado repetidamente a Ucrania desde 2013, est� intensificando los ataques contra entidades militares y gubernamentales con el objetivo de cosechar datos confidenciales relacionados con sus operaciones de contraofensiva contra las tropas rusas.

"Gamaredon utiliza documentos leg�timos robados de organizaciones comprometidas para infectar a las v�ctimas", dijo NCSCC. "Gamaredon utiliza documentos leg�timos robados de organizaciones comprometidas para infectar a las v�ctimas".

El grupo tiene un historial de abuso de Telegram y Telegraph como solucionadores de puntos muertos para recuperar informaci�n relativa a su infraestructura de mando y control (C2), al tiempo que aprovecha un arsenal "bien redondeado" de herramientas de malware para cumplir sus objetivos estrat�gicos.

Se trata de GammaDrop, GammaLoad, GammaSteel, LakeFlash y Pterodo, esta �ltima una herramienta polivalente perfeccionada para el espionaje y la filtraci�n de datos.

"Su versatilidad a la hora de desplegar diversos m�dulos la convierte en una potente amenaza, capaz de infiltrarse y comprometer sistemas objetivo con precisi�n", afirma el NCSCC.

"Aunque Gamaredon puede no ser el grupo de amenazas t�cnicamente m�s avanzado que tiene como objetivo Ucrania, sus t�cticas muestran una evoluci�n calculada. La creciente frecuencia de los ataques sugiere una expansi�n de su capacidad operativa y sus recursos."

Fuente: thehackernews