La ciberguerra paralela entre Rusia y Ucrania y sus países aliados no cesa. El Centro Nacional de Seguridad Cibernética de Reino Unido (NCSC) ha alertado sobre una nueva campaña de ciberataques contra objetivos militares ucranianos.
El autor, en este caso, es el grupo de amenazas persistentes avanzadas (APT) Sandworm, vinculado con la agencia militar de inteligencia de Rusia (GRU). Estos ciberdelincuentes han usado el malware Infamous Chisel para atacar dispositivos móviles Android pertenecientes a las fuerzas armadas de Ucrania.
"La exposición de esta campaña maliciosa contra objetivos militares ucranianos ilustra cómo la guerra ilegal de Rusia en Ucrania continúa desarrollándose en el ciberespacio", subraya Paul Chichester, director de operaciones del NCSC.
"Nuestro nuevo informe comparte análisis de expertos sobre cómo opera este nuevo malware y es el último ejemplo de nuestro trabajo con aliados en apoyo de la firme defensa de Ucrania", continúa. "El Reino Unido está comprometido a denunciar la ciberagresión rusa y continuaremos haciéndolo", añade.
A principios de agosto el Servicio de Seguridad de Ucrania (SBU) ya había advertido sobre esta novedosa familia de malware. Ahora, aseguran que en colaboración con las Fuerzas Armadas del país han impedido que los rusos obtuvieran acceso a los datos confidenciales que buscaban, como dónde estaban desplegando sus tropas, sus últimos movimientos, etc.
El jefe de seguridad del SBU, Ilia Vitiuk, explica que, desde los primeros días de la guerra se han estado defendiendo de los ciberataques de los servicios de inteligencia rusos para romper su sistema de mando militar.
Así opera la campaña
Según se hace eco ComputerWeekly, los expertos en ciberseguridad de la SBU hablaron de una "operación minuciosa y a largo plazo". Encontraron que la GRU se había hecho con tablets capturadas a ucranianos en el campo de batalla y las usó para abusar del acceso preconfigurado para penetrar en sus sistemas y distribuir archivos maliciosos a otros dispositivos Android.
Los diversos componentes de Infamous Chisel trabajaron juntos para permitir el acceso persistente a un dispositivo Android infectado a través de la red Tor , lo que se logró configurando y ejecutando Tor con un servicio oculto que reenviaba a un binario Dropbear modificado que proporcionaba una conexión de socket segura (SSH). .
Este recopilaba y exfiltraba de manera periódica información de la víctima tras buscar un conjunto predefinido de extensiones de archivo. También escaneó y monitoreó las redes locales donde se encontraba para recopilar varios puntos de datos, como hosts activos y puertos abiertos.
NCSC ha destacado que pese a que Infamous Chisel hace un poco de aguas en cuanto a su poca atención prestada a las funciones de ocultación, aun presenta una seria amenaza debido a la naturaleza de la información para la que fue diseñado.