与俄罗斯支持的叛军作战的乌克兰军方,其士兵的安卓手机被埋藏着木马的App入侵,而这个App正是军队指挥官鼓励士兵在战场中使用安装的。
该App由乌克兰军方开发,帮助士兵手动操纵苏制D-30榴弹炮,可把瞄准时间从数分钟减少到数秒。第55炮兵军官 Yaroslav Sherstuk 还曾在乌克兰电视台上展示过这个App。
俄罗斯军方情报部门或是乌克兰叛军,可通过这个App跟踪乌克兰炮兵部队的部署,将其暴露在反攻打击的目标之下。根据某些报告,在战争发起两年左右的时间时,超过一半的乌克兰炮兵部队被俘虏或是被摧毁。
CrowdStrike在报告中公布了由“Fancy Bear”黑客小组实施的这一入侵行为,而“Fancy Bear”正是今年入侵美国民主党国家委员会的黑客小组,其幕后支持者被业内安全专家认为是俄罗斯政府。
然而,这个App是无法通过普通渠道下载的,报告声称是与俄罗斯军方有关的黑客下载了这个App,然后种上木马,重新上传到公告牌。通过在榴弹炮校准的APP中种植木马,攻击者可接收乌克兰炮兵部队的通迅信息和本地数据,减轻军事侦查的困难。
2016年夏季,CrowdStrike的分析人员开始调查一个有意思的APK,其中包含带有军方性质的俄语数字,名为‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb)。该文件名与D-30 122毫米的牵引榴弹炮有关系,该武器于上个世纪60年代首次由苏联生产,但现在仍在使用中。
经深度的逆向工程之后,研究人员发现该APK包含X-Agent的安卓变体,其命令控制协议与观察到的Windows版本的X-Agent变体紧密相关,并使用一个名为RC4的加密算法,包括一个50字节的基钥。
X-Agent是一个跨平台的远程访问工具包,平台包括Windows、iOS、MacOS和安卓,这个工具包近十年来一直受到安全社区的关注,而“Fancy Bear”黑客小组则使用这个工具包。
CrowdStrike认为,“Fancy Bear”与俄罗斯军方情报机构有关联,并在东乌克兰和俄罗斯边境紧密与俄罗斯军方合作。
报告下载:
https://www.crowdstrike.com/wp-content/brochures/FancyBearTracksUkrainianArtillery.pdf
作者:Recco
来源:51CTO
