Una minaccia altamente sofisticata in grado di spionaggio informatico tramite router mirati è stato scoperto dai ricercatori di Kaspersky Lab. soprannominato Slingshot, il malware è stato utilizzato in campagne dannosi sulle vittime in Medio Oriente e in Africa per diversi anni. Poco detto, Slingshot è un complesso APT (Advanced Persistent Threat), con "uno dei quadri più complessi”Come spiegato da analista di malware Alexey Shulmin.
Slingshot APT Dettagli tecnici
Kaspersky si è imbattuto il malware quando hanno trovato un keylogger sospetto alla ricerca. Hanno creato una firma rilevamento comportamentale per verificare se il codice è presente in qualsiasi altro luogo. Questa attività ha innescato il rilevamento di un file sospetto all'interno della cartella di sistema noto come Scesrv.dll. Più tardi si è scoperto che il modulo Scesrv.dll conteneva codice dannoso. "Dal momento che questa libreria è caricato da ‘services.exe,’Un processo che ha privilegi di sistema, la biblioteca avvelenato guadagnato gli stessi diritti. I ricercatori hanno capito che un intruso altamente avanzato aveva trovato la sua strada nel cuore stesso del computer,”Kaspersky ha detto nella loro dichiarazione alla stampa.
I ricercatori hanno rivelato i loro risultati durante il suo vertice Analyst Security dove hanno detto che non hanno in precedenza visto come un insolito vettore di attacco. Gli aggressori stavano usando compromesse router MikroTik ai target vittime mettendo una DLL dannoso al suo interno. La DLL è infatti un downloader per i vari componenti dannosi, i ricercatori hanno detto.
Più specificamente, "quando un amministratore accede per configurare il router, download di software per la gestione del router ed esegue il modulo dannoso sul computer dell'amministratore. Il metodo utilizzato per incidere i router in primo luogo rimane sconosciuto,”ricercatori di Kaspersky Lab hanno rivelato.
Cosa succede dopo il router è infetto? Il passo successivo comprende Slingshot scaricando i moduli più malware. Due di loro meritano più attenzione a causa della loro natura piuttosto sofisticato – Cahnadr e GollumApp. I due componenti sono collegati fra loro e possono supportare reciprocamente nel raccogliere procedure di informazione.
GollumApp in particolare sembra essere il modulo più complessi Slingshot, trovati per comprendere 1,500 funzioni user-code, nonché i comandi per la persistenza, controllo del sistema di file e server di comando e controllo. L'altro modulo, Cahnadr, è un programma in modalità kernel che i server di eseguire codice dannoso senza schiantarsi l'intero file system, Kaspersky ha detto.
Funzionalità APT Slingshot
Il malware è in grado di effettuare campagne di cyber-spionaggio silenziosi dove si raccoglie di nascosto i dati, nasconde i pacchetti di dati sul traffico utilizzando che possono essere intercettati senza essere rintracciati.
Una sintesi delle sue capacità sembra che:
scopo principale di Slingshot sembra essere il cyber-spionaggio. L'analisi suggerisce che raccoglie le immagini, dati della tastiera, dati di rete, password, connessioni USB, altre attività desktop, dati degli Appunti e molto altro ancora, anche se il suo accesso kernel significa che può rubare quello che vuole.
Chi si rivolge? Apparentemente, vittime di questo malware sono più probabili individui particolari. Tuttavia, organizzazioni governative possono anche essere presi di mira. In termini di router che sono affetti da Slingshot - anche se i router MikroTik sono stati influenzati nelle campagne analizzate dai ricercatori, altri router possono essere mirati come pure.
La sofisticata struttura del malware parla anche lunga su chi è dietro le campagne - molto probabilmente attori minaccia sponsorizzati dallo stato.
utenti MikroTik sono invitati a eseguire l'aggiornamento alla più recente del firmware per evitare un'infezione con Slingshot.