En meget sofistikeret trussel i stand til cyber spionage via målrettet routere er blevet afsløret af forskere ved Kaspersky Lab. Døbt Slingshot, malwaren har været anvendt i ondsindede kampagner om ofre i Mellemøsten og Afrika i flere år. Kort sagt, Slingshot er en kompleks APT (Avanceret vedvarende trussel), med ”en af de mest komplekse rammer”Som forklaret af malware analytiker Alexey Shulmin.
Slingshot APT Tekniske detaljer
Kaspersky kom på tværs af malware, da de fandt en mistænkeligt leder keylogger. De skabte en adfærdsmæssig afsløring signatur for at kontrollere, om koden er til stede andre steder. Denne aktivitet udløst påvisning af en mistænkelig fil i systemet mappe kaldet scesrv.dll. Senere viste det sig, at den scesrv.dll modul indeholdt skadelig kode. "Da dette bibliotek er indlæst af ’Services.exe,’En proces, der har systemrettigheder, den forgiftede bibliotek fik de samme rettigheder. Forskerne indså, at en meget avanceret ubuden gæst havde fundet sin vej ind i selve kernen af computeren,”Kaspersky sagde i deres pressemeddelelse.
Forskerne afslørede deres resultater i løbet af sin Security Summit Analyst, hvor de sagde, at de ikke tidligere har set sådan en usædvanlig angrebsvektoren. Angriberne brugte kompromitterede Mikrotik routere til mål ofre ved at placere en ondsindet DLL inde i det. Den DLL er i virkeligheden en downloadet til forskellige ondsindede komponenter, forskerne sagde.
Mere specifikt, "når en administrator logger ind for at konfigurere routeren, routerens software til styring af downloads og kører ondsindet modul på administratorens computer. Den anvendte metode til at hacke routerne i første omgang forbliver ukendt,”Kaspersky Labs forskere afsløret.
Hvad sker der efter routeren er inficeret? Det næste skridt omfatter Slingshot downloader mere malware moduler. To af dem fortjener mere opmærksomhed på grund af deres helt sofistikerede karakter – Cahnadr og GollumApp. De to komponenter er forbundet med hinanden og kan støtte hinanden i indsamling informationsprocedurer.
GollumApp især synes at være den mest komplekse modul af Slingshot, fundet at omfatte 1,500 bruger-kode funktioner samt de kontroller for vedholdenhed, filsystem kontrol og kommando og kontrol-servere. Det andet modul, Cahnadr, er en kernel-mode program, der servere for at afvikle ondsindet kode uden at crashe hele filsystemet, Kaspersky sagde.
Slangebøsse APT Capabilities
Den malware er i stand til at udføre tavse cyber-spionage kampagner, hvor det listende samler data, skjuler trafik ved hjælp af datapakker, der kan opfanges uden at blive sporet.
Et resumé af sine kapaciteter ser gerne, at:
Slingshot hovedformål synes at være cyber-spionage. Analyse tyder det indsamler skærmbilleder, tastatur data, netværk data, adgangskoder, USB-forbindelser, anden desktop aktivitet, clipboard data og mere, selv om dens kerne adgang betyder det kan stjæle, hvad den ønsker.
Hvem er målrettet? Tilsyneladende, ofre for denne malware er mest sandsynlige bestemte personer. Men, statslige organisationer kan også målrettes. Med hensyn til de routere, der er berørt af Slingshot - selvom Mikrotik routere blev påvirket i de analyserede af forskerne kampagner, andre routere kan målrettes samt.
Den sofistikerede struktur af malware taler også meget om hvem der står bag kampagnerne - mest sandsynlige statsstøttede trussel aktører.
Mikrotik brugere opfordres til at opgradere til den nyeste firmware for at undgå en infektion med Slingshot.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: