Buvo aptikta kenkėjiška programa, galinti nulaužti kompiuterius nuotoliniu būdu iš maršrutizatoriaus. Kenkėjišką programą atrado „Kaspersky Lab“ tyrėjai, ji vadinama „Slingshot ATP“. „Slingshot“ kenkėjiška programa yra pirmoji tokio pobūdžio rūšis, kuri kada nors buvo atrasta. Gudrus dizainas suteikia jam prieigą prie „sysadmin“ mašinos, iš tikrųjų neįdiegus jos ten.

Manoma, kad slapta kenkėjiška programa buvo apyvartoje 6 metus ir tuo metu užkrėtė mažiausiai 100 kompiuterių. Kenkėjiška programa, kuri savo pavadinimą įgyja iš kodo atkurto teksto, yra viena iš pažangiausių kenkėjiškų programų formų, kokių kada nors buvo rasta. Anot Kaspersky tyrėjų, jis yra toks pažengęs, kad greičiausiai tai buvo valstybės remiama plėtra.

Nepaprastai rafinuotas

Apibūdindamas kenkėjišką programinę įrangą savo 25 puslapių ataskaitoje (pdf), Kaspersky paaiškina, kad greičiausiai šios šalies žvalgybos agentūra šnipinėjimui naudoja sudėtingą įrankį:

"„Slingshot“ atradimas atskleidžia dar vieną sudėtingą ekosistemą, kurioje keli komponentai veikia kartu, kad būtų sukurta labai lanksti ir gerai sutepta elektroninio šnipinėjimo platforma..

"Kenkėjiška programinė įranga yra labai pažangi, išsprendžianti įvairiausias problemas iš techninės perspektyvos ir dažnai labai elegantiškai, derindama senesnius ir naujesnius komponentus kruopščiai apgalvotame ir ilgalaikiame veikime, ko tikėtis iš aukščiausio lygio, aprūpintas aktorius."


„Kaspersky“ pasaulinių tyrimų direktorius Costinas Raiu įrašė įrašą, kad giria „Slingshot“ naudingumą. Pareiškime jis komentavo, kad „niekada anksčiau nematė šio išpuolio vektoriaus, pirmiausia nulaužė maršrutizatorių, o tada eina į„ sysadmin “.

Pasak Raiu, nepaisant to, kad jie įprasti, bandymai nulaužti sysadminus yra sudėtinga atskleisti. Jis sako, kad sisteadmino naudingos apkrovos yra nepaprastai ieškomos atakos priemonės, nes jos suteikia įsilaužėliams „raktą į karalystę“. Anot tyrinėtojo, Slingshot tai pasiekia naudodamas „visiškai naują strategiją“.

Slingshot paslaptis

Vis dar paslaptis

„Slingshot“ maršrutizatoriaus kenkėjiška programa buvo aptikta atsitiktinai. „Kaspersky“ tyrėjai vis dar nėra tikri, kaip tai bus perduota aukų maršrutizatoriams. Yra žinoma, kad kas kontroliuoja „Slingshot“, pirmiausia nukreipė krovą į maršrutizatorius, kuriuos pagamino Latvijos įmonė „MikroTik“..

Nors tikslus atakos vektorius tebėra slepiamas paslapties, tyrinėtojai sugebėjo įsitikinti, kad užpuolikai naudoja „MikroTik“ konfigūravimo įrankį, vadinamą „Winbox“, norėdami „atsisiųsti dinaminių nuorodų bibliotekos failus iš maršrutizatoriaus failų sistemos“. Vienas konkretus failas, ipv4.dll, yra įkeltas į „sysadmin“ mašinos atmintis iš maršrutizatoriaus prieš vykdant. Kaspersky savo pranešime krautuvą apibūdino kaip „techniškai įdomų“.

Krautuvas išradingai susisiekia su maršrutizatoriumi, kad atsisiųstų pavojingesnius naudingo krovinio komponentus (maršrutizatorius iš esmės veikia kaip įsilaužėlio komandos ir valdymo (CnC) serveris).

„Užkrėtęs„ Slingshot “į aukos įrenginį įkels daugybę modulių, įskaitant du didžiulius ir galingus:„ Cahnadr “, branduolio režimo modulį ir„ GollumApp “, vartotojo režimo modulį. Du moduliai yra sujungti ir gali palaikyti vienas kitą renkant informaciją, atkakliai ir tiriant duomenis “.

„Kaspersky Attack Vector“

Pažangūs slapti mechanizmai

Turbūt pats įspūdingiausias dalykas „Slingshot“ yra jo sugebėjimas išvengti aptikimo. Nepaisant to, kad nuo 2012 m. Buvo laukinėje gamtoje ir paskutinį mėnesį vis dar buvo eksploatuojamas, „Slingshot“ iki šiol išvengė aptikimo. Taip yra todėl, kad ji naudoja užšifruotą virtualių failų sistemą, tikslingai paslėptą nenaudojamoje aukos standžiojo disko dalyje.

Kaspersky teigimu, kenkėjiškų programų failų atskyrimas nuo failų sistemos padeda antivirusinėms programoms jos nepastebėti. Kenkėjiška programinė įranga taip pat naudojo šifravimą - ir drąsiai suprojektuotą uždarymo taktiką - kad kriminalistikos įrankiai nenustatytų jo buvimo.

Valstybės remiamas šnipinėjimas

Atrodo, kad šlepetės šnipinėjimui pasitelkė tautinę valstybę. Kenkėjiška programa buvo susijusi su aukomis mažiausiai 11 šalių. Kol kas „Kaspersky“ užkrėstus kompiuterius atrado Kenijoje, Jemene, Afganistane, Libijoje, Konge, Jordanijoje, Turkijoje, Irake, Sudane, Somalyje ir Tanzanijoje..

Atrodo, kad dauguma tų taikinių buvo pavieniai asmenys. Tačiau Kaspersky atskleidė įrodymus, kad kai kurios vyriausybinės organizacijos ir institucijos buvo nukreiptos. Kol kas niekas nėra tikras, kas valdo sudėtingą naudingą krovinį. Kol kas Kaspersky nenorėjo rodyti pirštų. Tačiau tyrėjai atrado derinimo pranešimus kode, kurie buvo parašyti tobula anglų kalba.

Kaspersky teigė manantis, kad Slingshot'o rafinuotumas rodo valstybės remiamą aktorių. Tai, kad jame yra tobulos anglų kalbos, gali reikšti NSA, CIA ar GCHQ. Be abejo, valstybės remiami kenkėjiškų programų kūrėjai gali įrėminti vienas kitą, darydami įspūdį, kad jų išnaudojimai buvo sukurti kitur:

"Kai kurie iš „Slingshot“ naudojamų metodų, pavyzdžiui, teisėtų, tačiau pažeidžiamų vairuotojų išnaudojimas, anksčiau buvo matomi kitose kenkėjiškose programose, tokiose kaip „White“ ir „Grey Lambert“. Tačiau tikslią priskyrimą visada sunku, jei net neįmanoma nustatyti, ir jis vis labiau linkęs į manipuliacijas ir klaidas."

Ką gali padaryti „Mikrotik“ maršrutizatorių vartotojai?

„Kaspersky“ informavo „Mikrotik“ apie pažeidžiamumą. „Mikrotik“ maršrutizatorių vartotojai turi kuo greičiau atnaujinti naujausią programinės įrangos versiją, kad užtikrintų apsaugą nuo „Slingshot“.

Pavadinimo atvaizdo kreditas: „Yuttanas“ / „Shutterstock.com“

Vaizdo kreditai: Hollygraphic / Shutterstock.com, ekrano kopija iš „Kaspersky“ ataskaitos.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me