Die US-amerikanische National Security Agency (NSA) hat in Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency (CISA), dem Federal Bureau of Investigation (FBI) und dem britischen National Cyber Security Centre (NCSC) gemeinsam einen Beratungsbericht herausgegeben, in dem sie die Nutzer dazu auffordert angesichts einer kürzlich entdeckten Malware-Bedrohung, die auf Kryptowährungs-Wallets und -Börsen abzielt, wachsam zu bleiben.
Dieser alarmierende Bericht wirft Licht auf eine böswillige Kampagne russischer Cyber-Akteure, die sich in erster Linie gegen das ukrainische Militär richtet. Bei der böswilligen Software, die im Mittelpunkt dieser Operation steht und als „Infamous Chisel“ bekannt ist, handelt es sich um eine neu identifizierte Schadsoftware, die speziell dafür entwickelt wurde, Android-Geräte ukrainischer Militärangehöriger zu infiltrieren. Diese heimtückische Malware gewährt unbefugten Zugriff auf kompromittierte Geräte und ist genau darauf abgestimmt, Dateien zu scannen, den Netzwerkverkehr zu überwachen und in regelmäßigen Abständen vertrauliche Daten von den kompromittierten Mobilgeräten zu stehlen.
Was die Bedenken noch verstärkt, ist die angebliche Verbindung der Malware mit Sandworm, einer berüchtigten Cyber-Kriegseinheit, die dem russischen Militärgeheimdienst GRU untersteht. Die gestohlenen Daten, zu denen vertrauliche Informationen gehören, die aus Verzeichnissen beliebter Kryptowährungs-Austauschanwendungen wie Binance und Coinbase sowie der Trust Wallet-App extrahiert wurden, werden unabhängig vom Dateityp wahllos exfiltriert.
Eric Goldstein, Executive Assistant Director für Cybersicherheit bei CISA, betonte, dass die US-Regierung immer wieder russische Akteure anprangert, die an verschiedenen böswilligen Cyberaktivitäten beteiligt sind, und dabei Bedenken hinsichtlich Cyberspionage und potenzieller Störmaßnahmen anführt. Er betonte die Bedeutung der internationalen Zusammenarbeit zwischen Cyber-Verteidigungspartnern und forderte die Organisationen auf, ihre Sicherheitsmaßnahmen zur Erkennung und Abwehr russischer Cyber-Bedrohungen zu verbessern, und betonte die entscheidende Notwendigkeit, die operative Widerstandsfähigkeit unter allen Bedingungen aufrechtzuerhalten.
Darüber hinaus wurde in dem Beratungsbericht festgestellt, dass die Komponenten von Infamous Chisel einen relativ geringen bis mittleren Grad an Raffinesse aufweisen und es an grundlegenden Verschleierungs- oder Stealth-Techniken mangelt, um böswillige Aktionen zu verbergen. Dieses offensichtliche Versäumnis bei den Umgehungstechniken kann auf die Tatsache zurückgeführt werden, dass vielen Android-Geräten ein hostbasiertes Erkennungssystem fehlt, was solche Maßnahmen scheinbar unnötig macht.
Die Enthüllungen des Berichts beschränken sich nicht nur auf Cyber-Kriegstaktiken; Es zeigt auch die Fähigkeit des russischen Militärs, trotz der von den USA und anderen Ländern verhängten Sanktionen erstaunliche 20 Millionen US-Dollar an Kryptowährungsfinanzierungen zu sichern. Der Bericht führt detailliert aus, dass mehr als 80% der Gelder im Zusammenhang mit sanktionierten pro-russischen Unternehmen auf zentralisierte Kryptowährungsbörsen zurückgeführt wurden, was darauf hindeutet, dass diese Plattformen die beliebtesten Handelsplätze für diese illegalen Vermögenswerte waren. Darüber hinaus beschäftigten sich die an dieser Mittelbeschaffung beteiligten Unternehmen auch mit dezentralen Finanzprotokollen (DeFi), einschließlich Cross-Chain-Brücken, nicht fungiblen Token-Diensten (NFT) und dezentralen Börsen (DEXes).
Zusammenfassend lässt sich sagen, dass der gemeinsame Beratungsbericht von NSA, CISA, FBI und NCSC eine deutliche Erinnerung an die sich ständig weiterentwickelnde Landschaft der Cyber-Bedrohungen ist, insbesondere solcher, die von staatlich geförderten Akteuren ausgehen. Die Infamous-Chisel-Malware-Kampagne verdeutlicht die Notwendigkeit einer erhöhten Wachsamkeit im Bereich der Cybersicherheit, nicht nur bei Regierungsbehörden, sondern auch innerhalb der Kryptowährungsbranche und allen Organisationen, die mit sensiblen Daten arbeiten. Da sich die Cyber-Bedrohungslandschaft weiter weiterentwickelt, bleiben internationale Zusammenarbeit und robuste Cybersicherheitsmaßnahmen für den Schutz vor diesen böswilligen Akteuren und ihren störenden Aktionen von entscheidender Bedeutung.
