Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Rosjanie zhackowali androidową appkę używaną do obsługi ukraińskiej artylerii?
Ostatnie podejrzenia dotyczące rosyjskich grup hackerskich nie cichną. Choć Rosjanie konsekwentnie zaprzeczają. Tym razem mamy nową, a przy okazji dość nietypową aferę:
- Udało się zlokalizować dystrybuowaną na forach (m.in. VKontakte) podrobioną aplikację Попр-Д30.apk, która wykorzystywała obserwowany wcześniej X-Agent – czyli kod umożliwiający na zdalny dostęp do ofiary, a wykorzystywany przez domniemaną rosyjską załogę APT o kryptonimie Fancy Bear.
(…) a curious Android Package (APK) named ‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb) which contained a number of Russian language artifacts that were military in nature. Initial research identified that the filename suggested a relationship to the D-30 122mm towed howitzer, an artillery weapon first manufactured in the Soviet Union in the 1960s but still in use today.
- W jaki sposób oficerowie dali się nabrać na pobranie zainfekowanej aplikacji?Otóż jej normalna wersja była przygotowana przez Yaroslava Sherstuka, ukraińskiego wojskowego, i nie była dostępna w normalnym app-sklepie (co jest raczej oczywiste). Model dystrybucji był zatem raczej 'pokątny’, co z dużym prawdopodobieństwem zostało skrzętnie wykorzystane.
- Kolejny fakt mogący potwierdzać skuteczność tej metody – Ukraińcy stracili w przeciągu 2 lat ponad 80% artylerii D-30 – to wg autorów raportu, zdecydowanie największa procentowo strata wśród wszystkich rodzajów artylerii.
Na koniec specjaliści z Crowdstrike udostępnili regułę snorta, wykrywającą komunikację z backendem (C2) aplikacji:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\ msg: “CrowdStrike FANCY BEAR X-Agent Android C2 Request”; \ flow: established,to_server; \ content: “lm=”; http_uri; \ pcre: “/^\/(watch|search|find|results|open|close)\/\?/U”; \ pcre: “/[\?\&](text|from|ags|oe|aq|btnG|oprnd)=/U”; \ classtype: trojan-activity; metadata: service http; \ sid: XXXX; rev: 20160815;)
–ms