Army+ alkalmazás felhasználása csaliként
2024. december 17-én az ukrán kormányzati CERT-UA tájékoztatást kapott a MIL.CERT-UA szakembereitől arról, hogy számos olyan webes erőforrást észleltek, amelyek az „Army+” alkalmazás hivatalos oldalát utánozzák, és amelyeket a Cloudflare Workers szolgáltatás segítségével tettek közzé. Az említett weboldalak meglátogatásakor a felhasználót az „ArmyPlusInstaller-v.0.10.23722.exe” (a név változhat) futtatható fájl letöltésére szólítják fel. Az EXE-fájlról kiderült, hogy egy NSIS (Nullsoft Scriptable Install System) segítségével létrehozott telepítőprogram, amely az „ArmyPlus.exe” .NET csalifájl mellett Python-interpretáló fájlokat, egy Tor programfájlokat tartalmazó archívumot és egy PowerShell „init.ps1” szkriptet tartalmaz. Ha az „ArmyPlusInstaller-v.0.10.23722.exe” fájlt megnyitjuk, akkor egy csalifájl, valamint egy PowerShell szkript indul el, amelynek célja a következő:
- OpenSSH szerver telepítése az áldozat számítógépére;
- RSA kulcspár létrehozása;
- nyilvános kulcs hozzáadása az „authorized_keys” fájlhoz a hitelesítéshez;
- a privát kulcs elküldése a „curl” segítségével a támadó szerverére (TOR-cím);
- egy rejtett SSH szolgáltatás közzététele a Tor segítségével.
Ez technikai lehetőséget teremt az áldozat számítógépéhez való távoli, rejtett hozzáférésre.
Volodimir Zelenszkij elnök 2024. augusztus 8-án jelentette be az Army+ alkalmazás indulását. „Az alkalmazás célja, hogy megszabadítsa az ukrán hadsereget a felesleges papírmunkától. Hogy a parancsnokok és a katonák ne vesztegessék az idejüket elavult és felesleges bürokráciára és papírok kitöltésére. A jelentésekkel kezdjük: először elektronikus jelentések lesznek, majd folytatjuk az engedélyezési űrlapokkal és minden más dokumentummal” – mondta Volodimir Zelenszkij.
December 15-én az ukrán elnök bejelentette, hogy “Ukrajna lépést jelent a „Army Plus” állami alkalmazás fejlesztésében – az állomány áthelyezése mostantól lehetséges az ukrán Nemzeti Gárda harcosai számára. Jelenleg az első szakaszban a Nemzeti Gárdán belüli áthelyezések érhetők el, de a cél az, hogy lehetővé tegyék az Ukrajna Fegyveres Erői és a Nemzeti Gárda egységei közötti állománymozgást is. A közeljövőben a határőrségünk egységei is integrálódnak az Army Plusba. A mai napig már 3 607 jóváhagyott áthelyezési kérelem érkezett az Ukrán Fegyveres Erők harcosai számára.” – mondta az elnök.
Az azonosított tevékenységet a CERT-UA az UAC-0125 azonosító alatt követi nyomon, és kellő bizonyossággal (sufficient level of confidence) az UAC-0002 klaszterhez (APT44, más néven Sandworm) kötik. A CERT-UA megosztotta az IOC-kat.
