Tika atklāta ļaunprātīga programmatūra, kas var hakeri datoriem no attāluma no maršrutētāja. Ļaunprātīgo programmatūru atklāja Kaspersky Lab pētnieki, to sauc par Slingshot ATP. Slingshot ļaunprogrammatūra ir pirmā šāda veida programmatūra, kas jebkad ir atklāta. Viltīgais dizains ļauj tai piekļūt sysadmin mašīnai, faktiski tur sevi neinstalējot.

Tiek uzskatīts, ka Maskēšanās ļaundabīgā programmatūra ir bijusi apgrozībā 6 gadus, šajā laikā inficējot vismaz 100 datorus. Ļaunprātīgā programmatūra, kas savu vārdu iegūst no teksta, kas atgūts no koda, ir viena no vismodernākajām ļaundabīgās programmatūras formām, kāda jebkad atklāta. Pēc Kaspersky pētnieku domām, tā ir tik attīstīta, ka tā, iespējams, bija valsts atbalstīta attīstība.

Ļoti izsmalcināts

Raksturojot ļaunprātīgo programmatūru savā 25 lappušu pārskatā (pdf), Kaspersky skaidro, ka, iespējams, nācijas izlūkošanas aģentūra spiegošanai izmanto sarežģītu rīku:

"Slingshot atklājums atklāj vēl vienu sarežģītu ekosistēmu, kurā vairāki komponenti darbojas kopā, lai nodrošinātu ļoti elastīgu un labi ieeļļotu kiberspiegijas platformu.

"Ļaunprātīgā programmatūra ir ļoti attīstīta, tā visu veidu problēmas risina no tehniskā viedokļa un bieži vien ļoti eleganti, apvienojot vecākus un jaunākus komponentus rūpīgi pārdomātā, ilgtermiņa darbībā, kaut ko gaidot no visaugstākā līmeņa, apgādāts aktieris."


Kaspersky globālo pētījumu direktors Costin Raiu ir ierakstījis, lai slavētu atjautību, kas atrodas Slingshot lietderīgajā kravā. Paziņojumā viņš komentēja, ka viņš "nekad nav redzējis šo uzbrukuma vektoru, vispirms uzlauziet maršrutētāju un pēc tam dodieties uz sysadmin".

Pēc Raiu teiktā, neskatoties uz to, ka tie ir izplatīti, mēģinājumus uzlaupīt sysadminus ir sarežģīti atklāt. Viņš saka, ka sysadmin kravas ir ārkārtīgi pieprasīts uzbrukumu vektors, jo tas dod hakeriem “valstības atslēgas”. Pēc pētnieka domām, Slingshot to panāk, izmantojot “pilnīgi jaunu stratēģiju”.

Katapulta noslēpums

Joprojām noslēpums

Slingshot maršrutētāja ļaunprogrammatūra tika atklāta nejauši. Kaspersky pētnieki joprojām nav pārliecināti par to, kā tas tiek piegādāts upuru maršrutētājiem. Ir zināms, ka tas, kurš kontrolē Slingshot, galvenokārt ir paredzēts kravas novirzīšanai uz maršrutētājiem, kurus ražo Latvijas firma MikroTik.

Kaut arī precīzais uzbrukuma vektors joprojām ir noslēpts, pētniekiem izdevās pārliecināties, ka uzbrucēji izmanto MikroTik konfigurēšanas utilītu, kuru sauc par Winbox, lai “lejupielādētu dinamisko saišu bibliotēkas failus no maršrutētāja failu sistēmas.” Tiek ielādēts viens konkrēts fails - ipv4.dll. sistēmas izpildītāja mašīnas atmiņa no maršrutētāja pirms izpildes. Kaspersky savā ziņojumā iekrāvēju raksturoja kā “tehniski interesantu”.

Iekrāvējs ģeniāli sazinās ar maršrutētāju, lai lejupielādētu bīstamākās kravas sastāvdaļas (maršrutētājs būtībā darbojas kā hakeru vadības un vadības (CnC) serveris).

Pēc inficēšanās Slingshot uz upura ierīces ielādēs vairākus moduļus, ieskaitot divus milzīgus un jaudīgus: Cahnadr, kodola režīma moduli un GollumApp, lietotāja režīma moduli. Abi moduļi ir savienoti un spēj atbalstīt cits citu informācijas vākšanā, noturībā un datu filtrācijā. ”

Kaspersky Attack Vector

Uzlaboti Maskēšanās mehānismi

Varbūt visiespaidīgākā lieta Slingshot ir tā spēja izvairīties no atklāšanas. Neskatoties uz to, ka savvaļā atrodas kopš 2012. gada un pēdējā mēneša laikā joprojām darbojas, Slingshot līdz šim ir izvairījies no atklāšanas. Tas notiek tāpēc, ka tajā tiek izmantota šifrēta virtuālā failu sistēma, kas mērķtiecīgi paslēpta upura cietā diska neizmantotajā daļā.

Saskaņā ar Kaspersky teikto, ļaunprogrammatūras failu atdalīšana no failu sistēmas palīdz pretvīrusu programmām to nemanīt. Ļaunprātīgā programmatūra izmantoja arī šifrēšanu - un pārdomāti izstrādāta izslēgšanas taktika -, lai kriminālistikas rīki nevarētu atklāt tās klātbūtni.

Valsts sponsorēts snooping

Šķiet, ka katapulta ir izmantojusi kādu nacionālu valsti spiegošanas veikšanai. Ļaunprātīgā programmatūra ir saistīta ar upuriem vismaz 11 valstīs. Līdz šim Kaspersky ir atklājis inficētus datorus Kenijā, Jemenā, Afganistānā, Lībijā, Kongo, Jordānijā, Turcijā, Irākā, Sudānā, Somālijā un Tanzānijā..

Šķiet, ka lielākā daļa no šiem mērķiem ir bijuši indivīdi. Tomēr Kaspersky atklāja pierādījumus par dažām valdības organizācijām un institūcijām, uz kurām vērsta uzmanība. Pagaidām neviens nav pārliecināts, kurš kontrolē izsmalcināto kravas daudzumu. Pagaidām Kasperskis nevēlas rādīt ar pirkstiem. Tomēr pētnieki atklāja atkļūdošanas ziņojumus kodā, kas bija uzrakstīti perfektā angļu valodā.

Kasperskis ir sacījis, ka uzskata, ka Slingshot izsmalcinātība norāda uz valsts atbalstītu aktieri. Fakts, ka tajā ir perfekta angļu valoda, var nozīmēt NVD, CIP vai GCHQ. Protams, ir iespējams, ka valsts sponsorēti ļaunprātīgas programmatūras izstrādātāji var ierāmēt viens otru, liekot, ka to izmantojumi ir radīti citur:

"Daži no paņēmieniem, kurus izmanto Slingshot, piemēram, likumīgu, tomēr neaizsargātu draiveru izmantošana, ir redzēti jau iepriekš citās ļaunprogrammatūrās, piemēram, White and Grey Lambert. Tomēr precīzu attiecināšanu vienmēr ir grūti, ja pat neiespējami noteikt, un tā arvien vairāk pakļaujas manipulācijām un kļūdām."

Ko var darīt Mikrotik maršrutētāju lietotāji?

Mikrotik par Kaspersky ievainojamību ir informējis. Mikrotik maršrutētāju lietotājiem pēc iespējas ātrāk jāatjaunina uz jaunāko programmatūras versiju, lai nodrošinātu aizsardzību pret Slingshot.

Nosaukuma attēla kredīts: Yuttanas / Shutterstock.com

Attēlu kredīti: Hollygraphic / Shutterstock.com, ekrānuzņēmums no Kaspersky ziņojuma.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me