Rosjanie zhackowali androidową appkę używaną do obsługi ukraińskiej artylerii?

Ostatnie podejrzenia dotyczące rosyjskich grup hackerskich nie cichną. Choć Rosjanie konsekwentnie zaprzeczają. Tym razem mamy nową, a przy okazji dość nietypową aferę:

• Udało się zlokalizować dystrybuowaną na forach (m.in. VKontakte) podrobioną aplikację Попр-Д30.apk, która wykorzystywała obserwowany wcześniej X-Agent – czyli kod umożliwiający na zdalny dostęp do ofiary, a wykorzystywany przez domniemaną rosyjską załogę APT o kryptonimie Fancy Bear.

Appka

(…) a curious Android Package (APK) named ‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb) which contained a number of Russian language artifacts that were military in nature. Initial research identified that the filename suggested a relationship to the D-30 122mm towed howitzer, an artillery weapon first manufactured in the Soviet Union in the 1960s but still in use today.

• W jaki sposób oficerowie dali się nabrać na pobranie zainfekowanej aplikacji?Otóż jej normalna wersja była przygotowana przez Yaroslava Sherstuka, ukraińskiego wojskowego, i nie była dostępna w normalnym app-sklepie (co jest raczej oczywiste). Model dystrybucji był zatem raczej ‘pokątny’, co z dużym prawdopodobieństwem zostało skrzętnie wykorzystane.
• Kolejny fakt mogący potwierdzać skuteczność tej metody – Ukraińcy stracili w przeciągu 2 lat ponad 80% artylerii D-30 – to wg autorów raportu, zdecydowanie największa procentowo strata wśród wszystkich rodzajów artylerii.

Ukraińska artyleria D-30 w akcji

Na koniec specjaliści z Crowdstrike udostępnili regułę snorta, wykrywającą komunikację z backendem (C2) aplikacji:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\
msg: “CrowdStrike FANCY BEAR X-Agent Android C2 Request”; \
flow: established,to_server; \
content: “lm=”; http_uri; \
pcre: “/^\/(watch|search|find|results|open|close)\/\?/U”; \
pcre: “/[\?\&](text|from|ags|oe|aq|btnG|oprnd)=/U”; \
classtype: trojan-activity; metadata: service http; \
sid: XXXX; rev: 20160815;)

–ms