تروجان کشف شده است که می تواند کامپیوترها را از راه دور از راه دور هک کند. این بدافزار توسط محققان آزمایشگاه کسپرسکی کشف شد و به آن Slingshot ATP گفته می شود. بدافزار Slingshot اولین در نوع خود است که تاکنون کشف شده است. طراحی حیله گری این امکان را به شما می دهد تا بدون نیاز به نصب خود در آنجا ، به دستگاه sysadmin دسترسی پیدا کنید.


اعتقاد بر این است که این بدافزار مخفی به مدت 6 سال در گردش بوده و حداقل در آن زمان 100 کامپیوتر را آلوده کرده است. این بدافزار ، که نام خود را از متن دریافت شده از کد آن می گیرد ، یکی از پیشرفته ترین اشکال بدافزارهایی است که تاکنون کشف شده است. به گفته محققان کسپرسکی ، آنقدر پیشرفته است که احتمالاً از حمایت دولتی برخوردار بود.

بسیار پیشرفته

کسپرسکی با توصیف این بدافزار در گزارش 25 صفحه ای خود (pdf) ، توضیح می دهد که احتمالاً ابزاری پیشرفته است که توسط سازمان اطلاعاتی کشور برای جاسوسی مورد سوء استفاده قرار می گیرد:

"کشف Slingshot اکوسیستم پیچیده دیگری را نشان می دهد که در آن چندین مؤلفه با هم کار می کنند تا بتوانند یک بستر جاسوسی سایبر بسیار انعطاف پذیر و با روغن خوب تهیه کنند..

"این بدافزار بسیار پیشرفته است ، انواع مشکلات را از منظر فنی و اغلب با روشی بسیار ظریف حل می کند ، اجزای قدیمی تر و جدیدتر را با یک عملکرد طولانی مدت کاملاً فکری و کاملاً متفکرانه ترکیب می کند ، چیزی که انتظار می رود از سطح بالای آن- بازیگر resourced."

کاستین رایو ، مدیر تحقیقات جهانی کسپرسکی ، در تحسین نبوغ موجود در بار Slingshot به ثبت رسیده است. وی در بیانیه ای اظهار داشت كه "قبلاً این بردار حمله را ندیده است ، ابتدا روتر را هك كرده و سپس به دنبال sysadmin".

به گفته رایو ، علیرغم رایج بودن ، تلاش برای هک کردن sysadmins برای کشف بسیار مشکل است. او می گوید بارهای sysadmin یک وکتور بسیار مورد توجه حمله است زیرا به هکرها "کلیدهای پادشاهی" می دهد. "به گفته این محقق ، Slingshot با استفاده از" یک استراتژی کاملاً جدید "به این هدف دست پیدا می کند.

اسلینگ تیرکمان بچه گانه

هنوز یک راز

بدافزار روتر Slingshot به طور تصادفی کشف شد. محققان کسپرسکی هنوز درباره نحوه تحویل آن به روترهای قربانیان مطمئن نیستند. آنچه مشخص است ، این است که هر کس Slingshot را کنترل می کند ، در درجه اول میزان بار را در روترهای تولید شده توسط شرکت لتونی MikroTik هدف قرار داده است..

اگرچه وکتور حمله دقیقاً رمز و راز است ، اما محققان می توانند تشخیص دهند که مهاجمان از یک ابزار پیکربندی MikroTik به نام Winbox برای "بارگیری فایل های کتابخانه لینک پویا از سیستم پرونده روتر" استفاده می کنند. قبل از اجرای ، حافظه دستگاه sysadmin از روتر. در گزارش خود ، کسپرسکی لودر را از نظر فنی جالب توصیف می کند.

لودر به طرز ذهنی برای بارگیری اجزای خطرناک بار بار (روتر در اصل به عنوان سرور فرمان و کنترل هکر) به روتر ارتباط برقرار می کند..

Slingshot می گوید: "به دنبال عفونت ، تعدادی ماژول را بر روی دستگاه قربانی بارگذاری می کند ، از جمله دو مدل بزرگ و قدرتمند: Cahnadr ، ماژول هسته و GollumApp ، ماژول حالت کاربر. این دو ماژول به هم متصل شده و قادر به حمایت از یکدیگر در جمع آوری اطلاعات ، پایداری و استخراج اطلاعات هستند. "

وکتور حمله کسپرسکی

مکانیسم های پیشرفته مخفیکاری

شاید برجسته ترین نکته در مورد Slingshot توانایی آن در جلوگیری از شناسایی باشد. علی رغم اینکه از سال 2012 در منطقه وحشی بود - و هنوز هم در طول ماه گذشته در حال بهره برداری بود - Slingshot تاکنون از شناسایی جلوگیری کرده است. این امر به این دلیل است که از یک سیستم پرونده مجازی رمزگذاری شده که بطور هدفمند در قسمت غیرقابل استفاده از هارد قربانی پنهان شده استفاده می کند.

طبق گفته کسپرسکی ، جدا کردن پرونده های بدافزار از سیستم فایل به آن کمک می کند تا توسط برنامه های آنتی ویروس کشف نشده بماند. این بدافزار همچنین از رمزگذاری - و تاکتیک های خاموش طراحی شده با زیرکی - برای جلوگیری از شناسایی ابزار پزشکی قانونی حضور آن استفاده کرد.

ایالتی Snooping را حمایت کرد

به نظر می رسد Slingshot توسط یک کشور-ملت برای جاسوسی استفاده شده است. این بدافزار حداقل در 11 کشور با قربانیان مرتبط شده است. تاکنون کاسپرسکی رایانه های آلوده را در کنیا ، یمن ، افغانستان ، لیبی ، کنگو ، اردن ، ترکیه ، عراق ، سودان ، سومالی و تانزانیا کشف کرده است.

به نظر می رسد اکثر این اهداف افراد بوده اند. با این حال ، کسپرسکی شواهدی را مبنی بر هدف قرار دادن برخی سازمان ها و نهادهای دولتی کشف کرد. در حال حاضر ، هیچ کس مطمئن نیست که چه کسی بار مالی پیشرفته را کنترل می کند. فعلاً کسپرسکی تمایلی به نشان دادن انگشتان دست ندارد. با این حال ، محققان پیام های اشکال زدایی را درون کدی کشف کردند که به زبان انگلیسی کامل نوشته شده است.

کسپرسکی اظهار داشته است که معتقد است که پیچیدگی Slingshot به یک بازیگر تحت حمایت دولت اشاره دارد. این واقعیت که حاوی انگلیسی کاملی است ممکن است NSA ، CIA یا GCHQ را نشان دهد. البته ، این امکان را برای توسعه دهندگان نرم افزارهای مخرب تحت حمایت دولت فراهم می کند که با به نظر رسیدن سوء استفاده های خود در جای دیگری ، یکدیگر را قاب سازند:

"برخی از تکنیک های بکار رفته توسط Slingshot مانند سوء استفاده از رانندگان مشروع اما در عین حال آسیب پذیر پیش از این در سایر بدافزارها مانند White و Grey Lambert دیده شده بود. با این حال ، انتساب دقیق همیشه دشوار است ، اگر غیرممکن نباشد ، و به طور فزاینده مستعد دستکاری و خطا می شود."

کاربران روترهای Mikrotik چه کاری می توانند انجام دهند?

کسپرسکی از آسیب پذیری توسط Mikrotik مطلع شده است. کاربران روترهای Mikrotik برای اطمینان از محافظت در برابر Slingshot باید در اسرع وقت به جدیدترین نسخه نرم افزار بروزرسانی شوند.

اعتبار تصویر عنوان: Yuttanas / Shutterstock.com

اعتبار تصویر: Hollygraphic / Shutterstock.com ، تصویر از گزارش کسپرسکی.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me