พบมัลแวร์ที่สามารถแฮกคอมพิวเตอร์จากระยะไกลจากเราเตอร์ มัลแวร์ถูกค้นพบโดยนักวิจัยที่ Kaspersky Lab เรียกว่า Slingshot ATP มัลแวร์ Slingshot เป็นซอฟต์แวร์ตัวแรกที่ถูกค้นพบ การออกแบบที่มีไหวพริบช่วยให้สามารถเข้าถึงเครื่องของ sysadmin ได้โดยไม่ต้องทำการติดตั้งเองตั้งแต่แรก.

เชื่อกันว่ามัลแวร์ลักลอบนั้นได้รับการเผยแพร่เป็นเวลา 6 ปีโดยติดไวรัสอย่างน้อย 100 เครื่องในเวลานั้น มัลแวร์ซึ่งได้รับชื่อจากข้อความที่กู้คืนมาจากรหัสนั้นเป็นหนึ่งในมัลแวร์ที่ทันสมัยที่สุดเท่าที่เคยค้นพบ นักวิจัยของ Kaspersky กล่าวว่ามีความก้าวหน้าสูงจนน่าจะเป็นการพัฒนาที่ได้รับการสนับสนุนจากรัฐ.

มีความซับซ้อนมาก

อธิบายถึงมัลแวร์ในรายงาน 25 หน้า (PDF) Kaspersky อธิบายว่ามันน่าจะเป็นเครื่องมือที่มีความซับซ้อนที่ถูกใช้ประโยชน์จากหน่วยข่าวกรองของประเทศเพื่อการจารกรรม:

"การค้นพบ Slingshot เผยให้เห็นระบบนิเวศที่ซับซ้อนซึ่งองค์ประกอบหลายอย่างทำงานร่วมกันเพื่อให้แพลตฟอร์มการจารกรรมทางไซเบอร์ที่ยืดหยุ่นและมีความยืดหยุ่นสูง.

"มัลแวร์เป็นขั้นสูงการแก้ปัญหาทุกประเภทจากมุมมองทางเทคนิคและบ่อยครั้งในวิธีที่สง่างามมากการรวมส่วนประกอบที่เก่ากว่าและใหม่กว่าเข้าด้วยกันด้วยความคิดที่ทั่วถึงการดำเนินงานในระยะยาว นักแสดงนำทรัพยากร."


Costin Raiu ผู้อำนวยการฝ่ายวิจัยทั่วโลกของ Kaspersky ได้ทำสถิติสูงสุดเพื่อยกย่องความเฉลียวฉลาดที่บรรจุอยู่ในบรรจุภัณฑ์ Slingshot ในคำสั่งเขาแสดงความคิดเห็นว่าเขา“ ไม่เคยเห็นเวกเตอร์การโจมตีนี้มาก่อนแฮ็กเราเตอร์ก่อนแล้วจึงไปดูแลระบบ”

อ้างอิงจาก Raiu แม้จะเป็นเรื่องธรรมดาความพยายามที่จะแฮก sysadmins นั้นยากที่จะเปิดเผย เขาบอกว่าอัตราการส่งข้อมูลดูแลระบบนั้นเป็นเว็กเตอร์โจมตีที่ต้องการอย่างมากเพราะมันให้แฮกเกอร์“ กุญแจสู่ราชอาณาจักร” ตามที่นักวิจัยกล่าวว่า Slingshot บรรลุเป้าหมายนี้โดยใช้“ กลยุทธ์ใหม่ที่สมบูรณ์แบบ”

Slingshot Mystery

ยังคงเป็นปริศนา

มัลแวร์เราเตอร์ Slingshot ถูกค้นพบโดยบังเอิญ นักวิจัยของ Kaspersky ยังไม่แน่ใจเกี่ยวกับวิธีการส่งมอบไปยังเราเตอร์ของเหยื่อ สิ่งที่เป็นที่รู้จักคือใครก็ตามที่ควบคุม Slingshot ได้กำหนดเป้าหมายไปที่ payload ที่เราเตอร์ที่ผลิตโดย MikroTik บริษัท ลัตเวียเป็นหลัก.

แม้ว่าเวกเตอร์การโจมตีที่แน่นอนยังคงปกคลุมไปด้วยความลึกลับนักวิจัยก็สามารถยืนยันได้ว่าผู้โจมตีใช้ยูทิลิตี MikroTik config ที่ชื่อ Winbox เพื่อ“ ดาวน์โหลดไฟล์ไลบรารีลิงก์แบบไดนามิกจากระบบไฟล์ของเราเตอร์” ไฟล์หนึ่งไฟล์ ipv4.dll โหลดลงบน หน่วยความจำของเครื่องดูแลระบบจากเราเตอร์ก่อนที่จะถูกดำเนินการ ในรายงาน Kaspersky อธิบายตัวโหลดว่า“ น่าสนใจทางเทคนิค”

ตัวโหลดจะสื่อสารกลับไปยังเราเตอร์อย่างชาญฉลาดเพื่อดาวน์โหลดส่วนประกอบที่อันตรายกว่าของเพย์โหลด (โดยทั่วไปเราเตอร์ทำหน้าที่เป็นเซิร์ฟเวอร์ Command and Control (CnC) ของแฮ็กเกอร์.

“ การติดเชื้อต่อไป Slingshot จะโหลดโมดูลจำนวนหนึ่งลงบนอุปกรณ์ของเหยื่อรวมถึงโมดูลขนาดใหญ่และทรงพลังสองอัน ได้แก่ Cahnadr โมดูลเคอร์เนลโหมดและ GollumApp ซึ่งเป็นโมดูลโหมดผู้ใช้ โมดูลทั้งสองเชื่อมต่อกันและสามารถรองรับซึ่งกันและกันในการรวบรวมข้อมูลการคงอยู่และการกรองข้อมูล”

Kaspersky Attack Vector

กลไกการพรางตัวขั้นสูง

บางทีสิ่งที่น่าประทับใจที่สุดเกี่ยวกับ Slingshot ก็คือความสามารถในการหลีกเลี่ยงการตรวจจับ แม้จะอยู่ในป่ามาตั้งแต่ปี 2012 และยังคงเปิดใช้งานในช่วงเดือนที่ผ่านมา - หนังสติ๊กมีจนถึงปัจจุบันเพื่อหลีกเลี่ยงการตรวจจับ นี่เป็นเพราะมันใช้ระบบไฟล์เสมือนที่ถูกเข้ารหัสซ่อนอยู่ในส่วนที่ไม่ได้ใช้ของฮาร์ดไดรฟ์ของเหยื่อ.

จากข้อมูลของ Kaspersky การแยกไฟล์มัลแวร์ออกจากระบบไฟล์ช่วยให้มันไม่ถูกตรวจพบโดยโปรแกรมป้องกันไวรัส มัลแวร์ยังใช้การเข้ารหัส - และออกแบบกลยุทธ์ปิดตัวเองอย่างชาญฉลาดเพื่อหยุดเครื่องมือทางนิติวิทยาศาสตร์ไม่ให้ตรวจพบว่ามีอยู่.

รัฐสนับสนุนการสอดแนม

Slingshot นั้นถูกใช้โดยรัฐชาติเพื่อทำการจารกรรม มัลแวร์ดังกล่าวเชื่อมโยงกับผู้ที่ตกเป็นเหยื่อในอย่างน้อย 11 ประเทศ จนถึงตอนนี้ Kaspersky ค้นพบคอมพิวเตอร์ที่ติดเชื้อในเคนยา, เยเมน, อัฟกานิสถาน, ลิเบีย, คองโก, จอร์แดน, ตุรกี, อิรัก, ซูดาน, โซมาเลียและแทนซาเนีย.

ส่วนใหญ่ของเป้าหมายเหล่านั้นดูเหมือนจะเป็นรายบุคคล อย่างไรก็ตาม Kaspersky ได้เปิดเผยหลักฐานขององค์กรและสถาบันของรัฐบางแห่งว่าเป็นเป้าหมาย สำหรับตอนนี้ไม่มีใครแน่ใจว่าใครเป็นผู้ควบคุมน้ำหนักบรรทุกที่มีความซับซ้อน ในขณะนี้ Kaspersky ไม่เต็มใจที่จะชี้นิ้ว อย่างไรก็ตามนักวิจัยค้นพบข้อความดีบั๊กภายในโค้ดที่เขียนด้วยภาษาอังกฤษที่สมบูรณ์แบบ.

Kaspersky กล่าวว่าเชื่อว่าความซับซ้อนของ Slingshot จะชี้ไปที่นักแสดงที่ได้รับการสนับสนุนจากรัฐ ความจริงที่ว่ามันมีภาษาอังกฤษที่สมบูรณ์แบบอาจเกี่ยวข้อง NSA, CIA หรือ GCHQ แน่นอนว่าเป็นไปได้ที่นักพัฒนามัลแวร์ที่ได้รับการสนับสนุนจากรัฐจะทำกรอบซึ่งกันและกันโดยการหาประโยชน์ของพวกเขาดูเหมือนจะถูกสร้างขึ้นที่อื่น:

"เทคนิคบางอย่างที่ใช้โดย Slingshot เช่นการใช้ประโยชน์จากความถูกต้องตามกฎหมาย แต่มีการพบเห็นไดรเวอร์ที่มีช่องโหว่ในมัลแวร์อื่น ๆ เช่น White และ Grey Lambert อย่างไรก็ตามการระบุแหล่งที่มาที่ถูกต้องนั้นยากเสมอหากไม่สามารถระบุได้และมีแนวโน้มที่จะจัดการกับข้อผิดพลาด."

ผู้ใช้เราเตอร์ Mikrotik สามารถทำอะไรได้บ้าง?

Mikrotik ได้รับแจ้งเกี่ยวกับช่องโหว่โดย Kaspersky ผู้ใช้เราเตอร์ Mikrotik ต้องอัปเดตเป็นซอฟต์แวร์เวอร์ชั่นใหม่ล่าสุดโดยเร็วที่สุดเพื่อให้มั่นใจว่าจะได้รับการปกป้องจาก Slingshot.

เครดิตภาพชื่อเรื่อง: Yuttanas / Shutterstock.com

เครดิตภาพ: Hollygraphic / Shutterstock.com ภาพหน้าจอจากรายงาน Kaspersky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me