Bol objavený malvér, ktorý dokáže hackovať počítače na diaľku zo smerovača. Malvér objavili vedci spoločnosti Kaspersky Lab, nazýva sa Slingshot ATP. Malware Slingshot je prvý svojho druhu, ktorý bol kedy objavený. Dômyselný dizajn mu umožňuje získať prístup k sysadminovmu stroju bez toho, aby sa tam na prvom mieste nainštalovala.

Predpokladá sa, že škodlivý softvér bol v obehu už 6 rokov a infikoval v tom čase najmenej 100 počítačov. Malvér, ktorý získava svoje meno podľa textu získaného z kódu, je jednou z najpokročilejších foriem škodlivého softvéru, ktorá sa kedy objavila. Podľa vedcov spoločnosti Kaspersky je to také pokročilé, že to bol pravdepodobne vývoj podporovaný štátom.

Mimoriadne sofistikované

Spoločnosť Kaspersky pri popise škodlivého softvéru vo svojej 25-stranovej správe (pdf) vysvetľuje, že pravdepodobne ide o sofistikovaný nástroj využívaný spravodajskou agentúrou štátu na špionáž:

"Objav Slingshot odhaľuje ďalší komplexný ekosystém, v ktorom rôzne zložky spolupracujú, aby poskytli veľmi flexibilnú a dobre naolejovanú platformu kybernetickej špionáže..

"Malvér je vysoko pokročilý a rieši všetky druhy problémov z technického hľadiska a často veľmi elegantným spôsobom. Kombinuje staršie a novšie komponenty v dôkladne premyslenej a dlhodobej prevádzke, čo sa dá očakávať od špičkovej kvality. zdrojový herec."


Costin Raiu, riaditeľ spoločnosti Kaspersky pre globálny výskum, zaznamenal povesť vynaliezavosti obsiahnutej v užitočnom zaťažení Slingshot. Vo vyhlásení uviedol, že „nikdy predtým nevidel tento útokový vektor, najskôr hackol router a potom sa vydal na sysadmin“.

Podľa Raiu, aj keď sú bežné, pokusy o hackovanie sysadminov sú zložité odhaliť. Povedal, že užitočné zaťaženie systému sysadmin je veľmi vyhľadávaným útočným vektorom, pretože hackerom poskytuje „kľúče od kráľovstva“. Podľa výskumníka to Slingshot dosahuje pomocou „úplne novej stratégie“.

Prak tajomstvo

Stále záhadou

Malvér smerovača Slingshot bol objavený náhodou. Vedci spoločnosti Kaspersky si stále nie sú istí, ako sa doručia smerovačom obetí. Je známe, že ten, kto ovláda Slingshot, sa primárne zameriaval na užitočné zaťaženie v smerovačoch vyrábaných lotyšskou firmou MikroTik..

Hoci presný vektor útoku ostáva zahalený záhadou, vedci dokázali zistiť, že útočníci používajú konfiguračný program MikroTik s názvom Winbox na „sťahovanie dynamických súborov knižnice súborov zo systému súborov smerovača“. Jeden konkrétny súbor ipv4.dll sa načíta do pamäť systému sysadmin zo smerovača pred vykonaním. Kaspersky vo svojej správe označil zavádzač za „technicky zaujímavý“.

Zavádzač dômyselne komunikuje späť k smerovaču, aby stiahol nebezpečnejšie komponenty užitočného zaťaženia (smerovač v podstate funguje ako server príkazu a riadenia hackera (CnC))..

„Po infekcii by Slingshot načíta do modulu obete niekoľko modulov, vrátane dvoch obrovských a výkonných modulov: Cahnadr, modul jadra a modul GollumApp, modul užívateľského režimu. Tieto dva moduly sú vzájomne prepojené a schopné sa navzájom podporovať pri zhromažďovaní informácií, vytrvalosti a exiltrácii údajov. “

Kaspersky Attack Vector

Zdokonalené mechanizmy utajenia

Asi najpôsobivejšia vec na Slingshot je jej schopnosť vyhnúť sa detekcii. Napriek tomu, že je od roku 2012 vo voľnej prírode - a stále je v prevádzke v poslednom mesiaci - Slingshot sa doteraz detekcii vyhýbal. Je to preto, že používa šifrovaný virtuálny súborový systém, ktorý je zámerne skrytý v nepoužitej časti pevného disku obete.

Podľa spoločnosti Kaspersky umožňuje oddelenie antivírusových programov oddeľovanie súborov škodlivého softvéru od systému súborov. Malvér tiež používal šifrovanie - a dôsledne navrhnutú taktiku vypínania - na zastavenie forenzných nástrojov v zisťovaní jeho prítomnosti..

Sponzorované štátom Snooping

Zdá sa, že prak bol zamestnaný národným štátom na vykonávanie špionáže. Malvér bol spájaný s obeťami v najmenej 11 krajinách. Kaspersky doteraz objavil napadnuté počítače v Keni, Jemene, Afganistane, Líbyi, Kongu, Jordánsku, Turecku, Iraku, Sudáne, Somálsku a Tanzánii..

Zdá sa, že väčšina týchto cieľov boli jednotlivci. Kaspersky však odhalil dôkazy o zameraní niektorých vládnych organizácií a inštitúcií. Zatiaľ si nikto nie je istý, kto ovláda sofistikované užitočné zaťaženie. Spoločnosť Kaspersky zatiaľ nechce ukazovať prstami. Vedci však objavili ladiace správy v kóde napísané dokonale anglicky.

Kaspersky vyhlásil, že verí, že sofistikovanosť Slingshot ukazuje na herca podporovaného štátom. Skutočnosť, že obsahuje perfektnú angličtinu, môže zapríčiniť NSA, CIA alebo GCHQ. Je samozrejme možné, že vývojári škodlivého softvéru sponzorovaní štátom sa navzájom spoja tak, že ich využitie bude vyzerať, že boli vytvorené niekde inde:

"Niektoré z techník, ktoré používa spoločnosť Slingshot, ako napríklad zneužívanie legitímnych, ale zraniteľných vodičov, sa už predtým vyskytli v iných škodlivých softvéroch, ako napríklad White and Grey Lambert. Presné priradenie je však vždy ťažké, ak nie nemožné, a čoraz viac je náchylné na manipuláciu a chyby."

Čo môžu používatelia smerovačov Mikrotik robiť?

Spoločnosť Mikrotik bola informovaná o zraniteľnosti spoločnosti Kaspersky. Používatelia smerovačov Mikrotik musia čo najskôr aktualizovať na najnovšiu verziu softvéru, aby sa zabezpečila ochrana pred Slingshot.

Kredit na obrázok názvu: Yuttanas / Shutterstock.com

Obrázkové kredity: Hollygraphic / Shutterstock.com, snímka obrazovky zo správy spoločnosti Kaspersky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me