התגלה תוכנה זדונית שיכולה לפרוץ מחשבים מרחוק מנתב. התוכנה הזדונית התגלתה על ידי חוקרים במעבדת קספרסקי, היא נקראת Slingshot ATP. התוכנה הזדונית של הקלע היא הראשונה מסוגה שהתגלתה אי פעם. העיצוב הערמומי מאפשר לו לקבל גישה למכונה של sysadmin מבלי להתקין את עצמו שם מלכתחילה.


על פי ההערכה, התוכנה הזדונית התגנבה הייתה במחזור זה 6 שנים, והדביקה לפחות 100 מחשבים באותה תקופה. התוכנה הזדונית, שמקבלת את שמה מטקסט המשוחזר מהקוד שלה, היא אחת הצורות המתקדמות ביותר של תוכנות זדוניות שהתגלו אי פעם. על פי חוקרי קספרסקי, הוא מתקדם עד כי ככל הנראה מדובר בפיתוח בחסות המדינה.

מאוד מתוחכם

בתיאור הזדוניות בדוח בן 25 העמודים (pdf), מסביר קספרסקי כי ככל הנראה מדובר בכלי מתוחכם שמנוצל על ידי סוכנות הביון של האומה לצורך ריגול:

"גילוי הקלע מגלה מערכת אקולוגית מורכבת נוספת בה רכיבים מרובים עובדים יחד על מנת לספק פלטפורמת סייבר-ריגול גמישה ומשומנת היטב..

"התוכנה הזדונית מתקדמת ביותר, פותרת כל מיני בעיות מבחינה טכנית ולעתים קרובות בצורה אלגנטית מאוד, המשלבת רכיבים ישנים וחדשים יותר בפעולה מחושבת וארוכת טווח, דבר שצריך לצפות מבאר מהשורה הראשונה. שחקן בעל משאבים."

קוסטין ראיו, מנהל המחקר העולמי של קספרסקי, עלה על השיא לשבח את ההמצאה הכלולה בעומס הקלע של הקלע. בהצהרה הוא ציין כי "מעולם לא ראה את וקטור ההתקפה הזה לפני כן, תחילה פרץ את הנתב ואז הלך על sysadmin."

לדברי ראיו, למרות היותם נפוצים, ניסיונות לפרוץ מערכות סיסמא הם דבר מסובך לגלות. לדבריו, עומסי סיסדמין הם וקטור התקפה מבוקש ביותר מכיוון שהוא נותן להאקרים "את המפתחות לממלכה". לדברי החוקרת, סלינגשוט משיג זאת באמצעות "אסטרטגיה חדשה לחלוטין."

תעלומת הקלע

עדיין תעלומה

התוכנה הזדונית לנתב הקלע התגלתה במקרה. חוקרי קספרסקי עדיין אינם בטוחים באשר לאופן העברתם לנתבים של הקורבנות. מה שידוע הוא שמי ששולט בסלינגשוט התמקד בעיקר בעומס על הנתבים המיוצרים על ידי המשרד הלטבי MikroTik..

אף כי וקטור ההתקפה המדויק נותר אפוף מסתורין, החוקרים הצליחו לוודא כי התוקפים משתמשים בכלי התצורה של MikroTik בשם Winbox כדי "להוריד קבצי ספריית קישורים דינאמיים ממערכת הקבצים של הנתב." קובץ אחד, ipv4.dll, נטען על גבי הזיכרון של מכונת sysadmin מהנתב לפני ביצועו. בדו"ח, קספרסקי תיאר את המטעין כ"מעניין מבחינה טכנית. "

המטען מתקשר בצורה גאונית בחזרה לנתב כדי להוריד את הרכיבים המסוכנים יותר של העומס (הנתב בעצם משמש כשרת הפקודה והבקרה של האקר (CnC))..

"בעקבות ההדבקה, הקלע יטען מספר מודולים למכשיר הקורבן, כולל שני ענקיים וחזקים: Cahnadr, מודול מצב הגלעין, ו- GollumApp, מודול מצב משתמש. שני המודולים מחוברים ומסוגלים לתמוך זה בזה באיסוף מידע, בהתמדה ובסינון נתונים. "

וקטור קספרסקי התקפה

מנגנוני התגנבות מתקדמים

אולי הדבר המרשים ביותר בקלע הוא היכולת להימנע מגילוי. למרות היותו בטבע מאז 2012 - ועדיין היה פועל במהלך החודש האחרון - הקלע הקשה נמנע עד כה מהגילוי. הסיבה לכך היא שהיא משתמשת במערכת קבצים וירטואלית מוצפנת המוחבאת בכוונה בחלק לא בשימוש בכונן הקשיח של הקורבן.

לטענת קספרסקי, הפרדת קבצי התוכנה הזדונית ממערכת הקבצים מסייעת לה להישאר ללא זיהוי על ידי תוכנות אנטי-וירוס. התוכנה הזדונית השתמשה גם בהצפנה - ובטקטיקות כיבוי נוקשות - כדי למנוע מכלי פלילי לאתר את נוכחותם.

חטטנות ממומנת על ידי המדינה

נראה כי הקלע הועסק על ידי מדינת לאום לביצוע ריגול. התוכנה הזדונית נקשרה לקורבנות בלפחות 11 מדינות. עד כה גילה קספרסקי מחשבים נגועים בקניה, תימן, אפגניסטן, לוב, קונגו, ירדן, טורקיה, עירק, סודן, סומליה וטנזניה..

נראה כי רוב היעדים היו אנשים. עם זאת, קספרסקי חשף עדויות לכמה ארגונים ומוסדות ממשלתיים שמטרתם להיות ממוקדת. נכון לעכשיו איש אינו בטוח מי שולט בעומס המשוכלל המתוחכם. בינתיים קספרסקי לא מוכן להפנות אצבעות. עם זאת, החוקרים גילו הודעות באגים בתוך הקוד שנכתבו באנגלית מושלמת.

קספרסקי אמר כי הוא מאמין שהתחכום של קלעז מצביע על שחקן בחסות המדינה. העובדה שהיא מכילה אנגלית מושלמת עשויה לרמוז על ה- NSA, CIA או GCHQ. כמובן, ייתכן שמפתחי תוכנות זדוניות בחסות המדינה יכולים למסגר זה את זה על ידי כך שייתכן כי עלילותיהם נוצרו במקום אחר:

"כמה מהטכניקות בהן השתמש הקלע, כמו ניצול נהגים לגיטימיים ועם זאת פגיעים, נצפו בעבר בתוכנות זדוניות אחרות, כמו למברט לבן ואפור. עם זאת, ייחוס מדויק הוא תמיד קשה, אם לא בלתי אפשרי לקביעתו, ונוטה יותר ויותר למניפולציה וטעייה."

מה יכולים המשתמשים בנתבים של Mikrotik לעשות?

Mikrotik התבשר על ידי הפגיעות על ידי קספרסקי. על המשתמשים בנתבים של Mikrotik לעדכן את גרסת התוכנה החדשה בהקדם כדי להבטיח הגנה מפני הקלע.

אשראי תמונת כותרת: Yuttanas / Shutterstock.com

נקודות זכות: Hollygraphic / Shutterstock.com, צילום מסך מהדוח קספרסקי.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me