Malware telah ditemukan yang dapat meretas komputer dari router. Malware ini ditemukan oleh para peneliti di Kaspersky Lab, itu disebut Slingshot ATP. Malware Slingshot adalah yang pertama dari jenisnya yang pernah ditemukan. Desain licik memungkinkannya untuk mendapatkan akses ke mesin sysadmin tanpa benar-benar menginstal sendiri di sana.

Malware stealth diyakini telah beredar selama 6 tahun, menginfeksi setidaknya 100 komputer pada waktu itu. Malware, yang mendapatkan namanya dari teks yang dipulihkan dari kodenya, adalah salah satu bentuk malware paling canggih yang pernah ditemukan. Menurut para peneliti Kaspersky, sangat maju sehingga kemungkinan pengembangan yang disponsori negara.

Sangat Canggih

Menggambarkan malware dalam laporan 25 halaman (pdf), Kaspersky menjelaskan bahwa itu kemungkinan alat canggih yang dieksploitasi oleh agen intelijen negara untuk spionase:

"Penemuan Slingshot mengungkapkan ekosistem kompleks lain di mana banyak komponen bekerja bersama untuk menyediakan platform spionase cyber yang sangat fleksibel dan terisi dengan baik.

"Malware ini sangat canggih, menyelesaikan segala macam masalah dari perspektif teknis dan seringkali dengan cara yang sangat elegan, menggabungkan komponen yang lebih lama dan lebih baru dalam operasi jangka panjang yang dipikirkan secara menyeluruh, sesuatu yang diharapkan dari well-notch well- aktor sumber daya."


Costin Raiu, direktur penelitian global Kaspersky, telah mencatat untuk memuji kecerdikan yang terkandung dalam muatan Slingshot. Dalam sebuah pernyataan, dia berkomentar bahwa dia “belum pernah melihat vektor serangan ini sebelumnya, pertama-tama meretas router dan kemudian mencari sysadmin.”

Menurut Raiu, meskipun umum, upaya untuk meretas sysadmin sulit untuk diungkap. Dia mengatakan muatan sysadmin adalah vektor serangan yang sangat dicari karena memberikan peretas "kunci menuju kerajaan." Menurut peneliti, Slingshot mencapai ini menggunakan "strategi yang sama sekali baru."

Misteri Katapel

Masih sebuah Misteri

Malware router Slingshot ditemukan secara tidak sengaja. Peneliti Kaspersky masih tidak yakin tentang bagaimana hal itu disampaikan ke router korban. Apa yang diketahui adalah bahwa siapa pun yang mengendalikan Slingshot terutama menargetkan muatan pada router yang diproduksi oleh perusahaan Latvia MikroTik.

Meskipun vektor serangan yang tepat tetap diselimuti misteri, para peneliti dapat memastikan bahwa para penyerang menggunakan utilitas konfigurasi MikroTik yang disebut Winbox untuk “mengunduh file pustaka tautan dinamis dari sistem file router.” Satu file tertentu, ipv4.dll, dimuat ke memori mesin sysadmin dari router sebelum dieksekusi. Dalam laporannya, Kaspersky menggambarkan loader sebagai "menarik secara teknis."

Loader dengan cerdik berkomunikasi kembali ke router untuk mengunduh komponen payload yang lebih berbahaya (router pada dasarnya bertindak sebagai server Command and Control (CnC) peretas).

“Setelah infeksi, Slingshot akan memuat sejumlah modul ke perangkat korban, termasuk dua yang besar dan kuat: Cahnadr, modul mode kernel, dan GollumApp, modul mode pengguna. Dua modul terhubung dan dapat saling mendukung dalam pengumpulan informasi, kegigihan, dan pengusiran data. "

Kaspersky Attack Vector

Mekanisme Stealth Tingkat Lanjut

Mungkin hal yang paling mengesankan tentang Slingshot adalah kemampuannya untuk menghindari deteksi. Meskipun berada di alam liar sejak 2012 - dan masih beroperasi selama sebulan terakhir - Slingshot, sampai sekarang, menghindari deteksi. Ini karena ia menggunakan sistem file virtual terenkripsi yang sengaja disembunyikan di bagian yang tidak terpakai dari hard drive korban.

Menurut Kaspersky, memisahkan file malware dari sistem file membantunya untuk tetap tidak terdeteksi oleh program antivirus. Malware ini juga menggunakan enkripsi - dan taktik mematikan yang dirancang dengan cerdik - untuk menghentikan alat forensik dari mendeteksi keberadaannya.

Menyponsori Negara

Slingshot tampaknya dipekerjakan oleh negara-bangsa untuk melakukan spionase. Malware telah dikaitkan dengan korban di setidaknya 11 negara. Sejauh ini, Kaspersky telah menemukan komputer yang terinfeksi di Kenya, Yaman, Afghanistan, Libya, Kongo, Yordania, Turki, Irak, Sudan, Somalia, dan Tanzania.

Mayoritas dari target tersebut nampaknya adalah individu. Namun, Kaspersky memang mengungkap bukti beberapa organisasi dan institusi pemerintah menjadi sasaran. Untuk saat ini, tidak ada yang yakin siapa yang mengendalikan muatan canggih. Untuk saat ini, Kaspersky tidak mau mengacungkan jari. Namun, para peneliti menemukan pesan debug dalam kode yang ditulis dalam bahasa Inggris yang sempurna.

Kaspersky mengatakan percaya bahwa kecanggihan Slingshot menunjuk pada aktor yang disponsori negara. Fakta bahwa itu berisi bahasa Inggris yang sempurna dapat melibatkan NSA, CIA, atau GCHQ. Tentu saja, pengembang malware yang disponsori negara dapat membingkai satu sama lain dengan membuat eksploitasi mereka tampaknya telah dibuat di tempat lain:

"Beberapa teknik yang digunakan oleh Slingshot, seperti eksploitasi driver yang sah, namun rentan telah terlihat sebelumnya di malware lain, seperti White dan Grey Lambert. Namun, atribusi yang akurat selalu sulit, jika bukan tidak mungkin untuk ditentukan, dan semakin rentan terhadap manipulasi dan kesalahan."

Apa yang dapat dilakukan oleh pengguna router Mikrotik?

Mikrotik telah diberi tahu tentang kerentanan oleh Kaspersky. Pengguna router Mikrotik harus memperbarui ke versi perangkat lunak terbaru sesegera mungkin untuk memastikan perlindungan terhadap Slingshot.

Kredit gambar judul: Yuttanas / Shutterstock.com

Kredit gambar: Hollygraphic / Shutterstock.com, tangkapan layar dari laporan Kaspersky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me