Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Rosjanie zhackowali androidową appkę używaną do obsługi ukraińskiej artylerii?

22 grudnia 2016, 11:50 | W biegu | 0 komentarzy
TL;DR – eksperci z Crowdstrike sugerują, że Rosjanie podstawili zamalwarowaną appkę – Попр-Д30.apk – która służy redukcji czasu wystrzału w artylerii D-30 używanej przez ukraińskie wojska. Dzięki temu Rosjanie mogli mieć dostęp do dokładnych namiarów na odpowiednie pozycje ukraińskich wojsk.

Ostatnie podejrzenia dotyczące rosyjskich grup hackerskich nie cichną. Choć Rosjanie konsekwentnie zaprzeczają. Tym razem mamy nową, a przy okazji dość nietypową aferę:

  • Udało się zlokalizować dystrybuowaną na forach (m.in. VKontakte) podrobioną aplikację Попр-Д30.apk, która wykorzystywała obserwowany wcześniej X-Agent – czyli kod umożliwiający na zdalny dostęp do ofiary, a wykorzystywany przez domniemaną rosyjską załogę APT o kryptonimie Fancy Bear.
ukraine-application

Appka

(…) a curious Android Package (APK) named ‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb) which contained a number of Russian language artifacts that were military in nature. Initial research identified that the filename suggested a relationship to the D-30 122mm towed howitzer, an artillery weapon first manufactured in the Soviet Union in the 1960s but still in use today.

  • W jaki sposób oficerowie dali się nabrać na pobranie zainfekowanej aplikacji?Otóż jej normalna wersja była przygotowana przez Yaroslava Sherstuka, ukraińskiego wojskowego, i nie była dostępna w normalnym app-sklepie (co jest raczej oczywiste). Model dystrybucji był zatem raczej 'pokątny’, co z dużym prawdopodobieństwem zostało skrzętnie wykorzystane.
  • Kolejny fakt mogący potwierdzać skuteczność tej metody – Ukraińcy stracili w przeciągu 2 lat ponad 80% artylerii D-30 – to wg autorów raportu, zdecydowanie największa procentowo strata wśród wszystkich rodzajów artylerii.
Ukraińska artyleria D-30 w akcji

Ukraińska artyleria D-30 w akcji

Na koniec specjaliści z Crowdstrike udostępnili regułę snorta, wykrywającą komunikację z backendem (C2) aplikacji:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\
msg: “CrowdStrike FANCY BEAR X-Agent Android C2 Request”; \
flow: established,to_server; \
content: “lm=”; http_uri; \
pcre: “/^\/(watch|search|find|results|open|close)\/\?/U”; \
pcre: “/[\?\&](text|from|ags|oe|aq|btnG|oprnd)=/U”; \
classtype: trojan-activity; metadata: service http; \
sid: XXXX; rev: 20160815;)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz