Im Angriffskrieg Russlands gegen die Ukraine spielten Hackerinnen und Hacker von Anfang an eine große Rolle. So sind etwa zahlreiche Attacken russischer Staatshackergruppen gegen die kritische Infrastruktur der Ukraine dokumentiert, auf der anderen Seite arbeitet ein Mix aus westlichen Firmen, Geheimdiensten und hacktivistisch motivierten Privatpersonen an Abwehr und Analyse – und zum Teil auch an Gegenoffensiven.

Wieder einmal: Sandworm

Mit einer neuen Kampagne scheint es Sandworm nun gezielt auf das ukrainische Militär abgesehen zu haben. In einer gemeinsamen Analyse der Geheimdienste von Großbritannien, den USA, Kanada, Australien und Neuseeland – also der sogenannten Five-Eyes-Länder – wird ein zuvor unbekannter Android-Trojaner namens "Infamous Chisel" beschrieben.

Hacker bei der Arbeit.
APA/ROLAND SCHLAGER

"Infamous Chisel"

Diese neue Schadsoftware soll in den vergangenen Monaten auf mehreren vom ukrainischen Militär eingesetzten Geräten – offenbar vor allem Tablets – gefunden worden sein. Die Aufgabe der Software ist mit einem Wort einfach beschrieben: Informationsbeschaffung. Es werden also lokal gespeicherte Dokumente gesammelt und an die Angreifer geschickt.

Technische Analyse

In Hinblick auf technische Details ist der Bericht relativ zurückhaltend. So wird etwa nicht beschrieben, wie der Trojaner auf die infizierten Geräte gelangt ist. Einmal dort, ersetzt er aber eine zentrale Netzwerkkomponente von Android namens Netd. Damit bringt man den gesamten Datenverkehr unter die eigene Kontrolle.

Die Daten werden dabei automatisch eingesammelt und je nach Qualität der Internetverbindung des Geräts einmal am Tag oder auch sofort, wenn sie gefunden werden, an die Angreifer verschickt. Der Datentransfer erfolgt dabei verschlüsselt und wird über das Anonymisierungsnetzwerk Tor geschickt, um die Aktivitäten zu verschleiern.

Dass russische Staatshacker sich gern des sonst auch für Menschenrechtsaktivisten und die politische Opposition vieler Länder wichtigen Tor-Netzwerks bedienen, haben auch die schon Vulkan Files (erneut) gezeigt.

Hintertür

Um einen dauerhaften Zugriff von außen zu garantieren, installiert "Infamous Chisel" auf den infizierten Geräten die SSH-Software Dropbear. SSH – oder in Langform "Secure Shell" – ist dabei keine Schadsoftware, sondern ein für die Fernwartung von Computersystemen auch generell gebräuchliches Tool – oder eigentlich eine Kategorie von Tools.

Einfach, aber wirkungsvoll

Generell kommt die Analyse übrigens zum Ergebnis, dass die Komponenten von "Infamous Chisel" auf technischer Seite nur mit niedriger bis mittlerer Raffinesse erstellt wurden. Das zeigt aber auch, dass oft einfach nicht mehr benötigt wird, um eine reale Gefahr für militärische Geheimnisse darzustellen. (Andreas Proschofsky, 1.9.2023)