Bilgisayarları bir yönlendiriciden uzaktan hackleyebilen kötü amaçlı yazılımlar keşfedildi. Kötü amaçlı yazılım Kaspersky Lab'daki araştırmacılar tarafından keşfedildi, buna Slingshot ATP deniyor. Slingshot kötü amaçlı yazılımı, şimdiye kadar keşfedilmiş türünün ilk örneğidir. Kurnaz tasarım, kendini ilk etapta oraya kurmadan sysadmin'in makinesine erişmesini sağlar..


Gizli kötü amaçlı yazılımın 6 yıldır dolaşımda olduğuna ve o sırada en az 100 bilgisayara bulaştığına inanılıyor. Adını kodundan kurtarılan metinden alan kötü amaçlı yazılım, şimdiye kadar keşfedilen en gelişmiş kötü amaçlı yazılım biçimlerinden biridir. Kaspersky’nin araştırmacılarına göre, o kadar ileri ki, muhtemelen devlet destekli bir gelişme oldu.

Son derece Gelişmiş

Kötü amaçlı yazılımı 25 sayfalık raporunda (pdf) açıklayan Kaspersky, muhtemelen bir ülkenin casusluk istihbarat ajansı tarafından istismar edilen karmaşık bir araç olduğunu açıklıyor:

"Slingshot'ın keşfi, çok esnek ve iyi yağlanmış bir siber casusluk platformu sağlamak için birden fazla bileşenin birlikte çalıştığı başka bir karmaşık ekosistemi ortaya koyuyor.

"Kötü amaçlı yazılım son derece gelişmiş olup, her türlü sorunu teknik bir perspektiften ve çoğu zaman çok zarif bir şekilde çözerek, eski ve yeni bileşenleri iyice düşünülmüş, uzun vadeli bir operasyonda, birinci sınıf bir kuyudan beklenecek bir şeyle birleştirir. kaynaklı aktör."

Kaspersky’nin küresel araştırma direktörü Costin Raiu, Slingshot yükünde bulunan yaratıcılığı övmek için kayda geçti. Bir açıklamada, “bu saldırı vektörünü daha önce hiç görmediğini, önce yönlendiriciyi hacklediğini ve sonra sysadmin'i tercih ettiğini” söyledi.

Raiu'ya göre, yaygın olmasına rağmen, sistem yöneticilerini hackleme girişimleri ortaya çıkarmak zor. Sysadmin yüklerinin saldırı vektöründen sonra çok aranan bir şey olduğunu söylüyor, çünkü bilgisayar korsanlarına “krallığın anahtarları” veriyor. Araştırmacıya göre Slingshot bunu “tamamen yeni bir strateji” kullanarak başarıyor.

Sapan Gizemi

Hala Gizem

Slingshot yönlendirici kötü amaçlı yazılımı yanlışlıkla bulundu. Kaspersky araştırmacıları, kurbanların yönlendiricilerine nasıl teslim edildiğinden hala emin değiller. Bilinen şey, Slingshot'ı kim kontrol ederse, öncelikle Letonya firması MikroTik tarafından üretilen yönlendiricilerdeki yükü hedeflemesidir..

Tam saldırı vektörü gizemde kalmaya devam etse de, araştırmacılar saldırganların “yönlendiricinin dosya sisteminden dinamik bağlantı kitaplığı dosyalarını indirmek için” Winbox adlı bir MikroTik yapılandırma yardımcı programı kullandıklarını tespit edebildiler. sysadmin makinesinin yürütülmeden önce yönlendiriciden belleği. Kaspersky raporunda, yükleyiciyi “teknik olarak ilginç” olarak nitelendirdi.

Yükleyici, yükün daha tehlikeli bileşenlerini indirmek için ustaca yönlendiriciyle iletişim kurar (yönlendirici temel olarak bilgisayar korsanının Komuta ve Kontrol (CnC) sunucusu gibi davranır).

“Enfeksiyondan sonra Slingshot, kurban cihaza iki büyük ve güçlü modül de dahil olmak üzere bir dizi modül yükleyecekti: Çekirdek modu modülü Cahnadr ve kullanıcı modu modülü GollumApp. İki modül birbirine bağlı ve bilgi toplama, kalıcılık ve veri sızma konusunda birbirlerini destekleyebiliyor. ”

Kaspersky Attack Vektör

İleri Gizli Mekanizmalar

Belki de Slingshot ile ilgili en etkileyici şey, tespitten kaçınma yeteneğidir. 2012'den beri vahşi doğada olmasına ve geçen ay hala faaliyette olmasına rağmen Slingshot şimdiye kadar tespit edilmekten kaçındı. Bunun nedeni, kurbanın sabit sürücüsünün kullanılmayan bir bölümünde kasıtlı olarak gizlenmiş şifreli bir sanal dosya sistemi kullanmasıdır.

Kaspersky'ye göre, kötü amaçlı yazılım dosyalarını dosya sisteminden ayırmak, virüsten koruma programları tarafından algılanmadan kalmasına yardımcı olur. Kötü amaçlı yazılım ayrıca adli araçların varlığını tespit etmesini durdurmak için şifreleme ve zekice tasarlanmış kapatma taktikleri kullandı..

Devlet Sponsorlu Gözetleme

Sapan casusluk yapmak için bir ulus devlet tarafından kullanılmış gibi görünmektedir. Kötü amaçlı yazılım, en az 11 ülkedeki kurbanlarla bağlantılıdır. Kaspersky şimdiye kadar Kenya, Yemen, Afganistan, Libya, Kongo, Ürdün, Türkiye, Irak, Sudan, Somali ve Tanzanya'da virüslü bilgisayarlar keşfetti.

Bu hedeflerin çoğunluğu bireyler gibi görünmektedir. Ancak Kaspersky, hedeflenen bazı devlet kurum ve kuruluşlarının kanıtlarını ortaya çıkardı. Şimdilik, kimse gelişmiş yükü kimin kontrol ettiğinden emin değil. Şimdilik Kaspersky parmakları işaret etmek istemiyor. Ancak, araştırmacılar kod içinde mükemmel İngilizce yazılmış hata ayıklama iletileri keşfetti.

Kaspersky, Slingshot'ın karmaşıklığının devlet destekli bir aktöre işaret ettiğine inandığını söyledi. Mükemmel İngilizce içermesi NSA, CIA veya GCHQ'yu etkileyebilir. Tabii ki, devlet destekli kötü amaçlı yazılım geliştiricilerinin istismarlarını başka bir yerde oluşturulmuş gibi göstererek birbirlerini çerçevelemesi mümkündür:

"Slingshot tarafından meşru ancak savunmasız sürücülerin kullanılması gibi tekniklerden bazıları daha önce White ve Gray Lambert gibi diğer kötü amaçlı yazılımlarda görülmüştür. Bununla birlikte, doğru ilişkilendirme her zaman zordur, belirlenmesi imkansız değilse ve giderek manipülasyon ve hataya eğilimlidir."

Mikrotik yönlendiriciler kullanıcıları ne yapabilir??

Mikrotik, Kaspersky tarafından bu güvenlik açığı hakkında bilgilendirildi. Mikrotik yönlendirici kullanıcıları, Slingshot'a karşı koruma sağlamak için en kısa sürede en yeni yazılım sürümüne güncelleme yapmalıdır.

Başlık resim kredisi: Yuttanas / Shutterstock.com

Fotoğraf: Hollygraphic / Shutterstock.com, Kaspersky raporundan ekran görüntüsü.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me