Обнаружено вредоносное ПО, которое может взломать компьютеры удаленно с маршрутизатора. Вредоносная программа была обнаружена исследователями из «Лаборатории Касперского» и называется Slingshot ATP. Вредоносная программа Slingshot является первой в своем роде, когда-либо обнаруженной. Хитрый дизайн позволяет ему получить доступ к машине сисадмина, фактически не устанавливая себя там в первую очередь..


Считается, что стелс-вредоносные программы были в обращении в течение 6 лет, заразив за это время не менее 100 компьютеров. Вредоносная программа, получившая свое название по тексту, восстановленному из ее кода, является одной из самых совершенных форм вредоносных программ, когда-либо обнаруженных. По словам исследователей Касперского, он настолько продвинут, что, скорее всего, это была государственная разработка.

Чрезвычайно сложный

Описывая вредоносную программу в своем 25-страничном отчете (pdf), Касперский объясняет, что это, вероятно, сложный инструмент, используемый государственным разведывательным агентством для шпионажа:

"Открытие Slingshot открывает другую сложную экосистему, в которой несколько компонентов работают вместе, чтобы обеспечить очень гибкую и хорошо отлаженную платформу для кибершпионажа..

"Вредоносное ПО является высокоразвитым, решает все виды проблем с технической точки зрения и часто очень элегантным образом, объединяя старые и новые компоненты в тщательно продуманном, долгосрочном процессе, чего можно ожидать от первоклассных хорошо обеспеченный актер."

Костин Райу, директор по глобальным исследованиям «Касперского», официально отметил изобретательность, заложенную в полезную нагрузку Slingshot. В своем заявлении он прокомментировал, что «никогда раньше не видел этот вектор атаки, сначала взломайте маршрутизатор, а затем обратитесь к сисадмину».

По словам Раю, несмотря на то, что они распространены, попытки взломать системных администраторов сложно раскрыть. Он говорит, что полезные нагрузки сисадмина являются чрезвычайно востребованным вектором атаки, поскольку он дает хакерам «ключи от королевства». По словам исследователя, Slingshot достигает этого, используя «совершенно новую стратегию».

Рогатка Тайна

Все еще загадка

Вредоносный маршрутизатор Slingshot был обнаружен случайно. Исследователи Касперского до сих пор не уверены в том, как это доставляется маршрутизаторам жертв. Что известно, так это то, что тот, кто контролирует Slingshot, в первую очередь нацелился на полезную нагрузку на маршрутизаторы, производимые латвийской фирмой MikroTik..

Хотя точный вектор атаки остается загадочным, исследователи смогли установить, что злоумышленники используют утилиту конфигурации MikroTik под названием Winbox для «загрузки файлов библиотеки динамических ссылок из файловой системы маршрутизатора». Один конкретный файл, ipv4.dll, загружается в память компьютера сисадмина от маршрутизатора перед выполнением. В своем отчете Касперский назвал загрузчик «технически интересным».

Загрузчик изобретательно связывается обратно с маршрутизатором, чтобы загрузить более опасные компоненты полезной нагрузки (маршрутизатор в основном действует как сервер командования и управления (CnC) хакера).

«После заражения Slingshot загружал на устройство-жертву несколько модулей, включая два огромных и мощных: Cahnadr, модуль режима ядра, и GollumApp, модуль пользовательского режима. Два модуля соединены и могут поддерживать друг друга в сборе информации, ее сохранности и удалении данных ».

Вектор атаки Касперского

Усовершенствованные механизмы скрытности

Возможно, самая впечатляющая вещь в Slingshot - это его способность избегать обнаружения. Несмотря на то, что с 2012 года находился в дикой природе - и все еще работал в течение последнего месяца - Slingshot до сих пор избегал обнаружения. Это потому, что он использует зашифрованную виртуальную файловую систему, специально скрытую в неиспользуемой части жесткого диска жертвы..

По словам Касперского, отделение файлов вредоносной программы от файловой системы помогает ей оставаться незамеченной антивирусными программами. Вредоносная программа также использовала шифрование - и хитроумно разработанную тактику выключения - чтобы не позволить криминалистическим инструментам обнаружить ее присутствие..

Государственный спонсор Snooping

Похоже, что рогатка использовалась национальным государством для шпионажа. Вредоносная программа была связана с жертвами как минимум в 11 странах. На данный момент Касперский обнаружил зараженные компьютеры в Кении, Йемене, Афганистане, Ливии, Конго, Иордании, Турции, Ираке, Судане, Сомали и Танзании..

Большинство из этих целей, как представляется, были отдельными лицами. Тем не менее, Касперский действительно обнаружил доказательства того, что некоторые правительственные организации и учреждения подвергаются нападениям. Пока никто не уверен, кто контролирует сложную полезную нагрузку. В настоящее время Касперский не хочет показывать пальцем. Тем не менее, исследователи обнаружили отладочные сообщения в коде, которые были написаны на идеальном английском.

Kaspersky сказал, что считает, что изощренность Slingshot указывает на спонсируемого государством актера. Тот факт, что он содержит идеальный английский, может указывать на АНБ, ЦРУ или GCHQ. Конечно, спонсируемые государством разработчики вредоносных программ могут создавать друг друга, создавая впечатление, что их эксплойты были созданы в другом месте:

"Некоторые из методов, используемых Slingshot, такие как эксплуатация законных, но уязвимых драйверов, ранее встречались в других вредоносных программах, таких как White и Grey Lambert. Тем не менее, точную атрибуцию всегда трудно, если не невозможно определить, и она все больше подвержена манипуляциям и ошибкам.."

Что могут делать пользователи роутеров Mikrotik?

Микротик был проинформирован об этой уязвимости Касперским. Пользователи маршрутизаторов Mikrotik должны обновиться до последней версии программного обеспечения как можно скорее, чтобы обеспечить защиту от Slingshot.

Название изображения: Юттанас / Shutterstock.com

Изображение предоставлено: Hollygraphic / Shutterstock.com, скриншот из отчета Касперского.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me