S-a descoperit programul malware care poate hack computerele de la un router de la distanță. Programul malware a fost descoperit de cercetătorii de la Kaspersky Lab, se numește Slingshot ATP. Malware-ul Slingshot este primul de acest gen care a fost descoperit vreodată. Designul viclean îi permite să obțină acces la mașina sysadminului, fără să se instaleze acolo în primul rând.

Se crede că malware-ul sigur a fost în circulație timp de 6 ani, infectând cel puțin 100 de computere în acel timp. Programul malware, care își ia numele din textul recuperat din codul său, este una dintre cele mai avansate forme de malware descoperite vreodată. Potrivit cercetătorilor lui Kaspersky, este atât de avansat încât a fost probabil o dezvoltare sponsorizată de stat.

Extrem de sofisticat

Descriind malware în raportul său de 25 de pagini (pdf), Kaspersky explică că este probabil un instrument sofisticat exploatat de agenția de informații a unei națiuni pentru spionaj:

"Descoperirea lui Slingshot dezvăluie un alt ecosistem complex în care mai multe componente colaborează pentru a oferi o platformă de spionaj cibernetic foarte flexibil și bine ulei.

"Programul malware este extrem de avansat, rezolvând tot felul de probleme dintr-o perspectivă tehnică și deseori într-un mod foarte elegant, combinând componente mai vechi și mai noi într-o operațiune pe termen lung, atent gândită, ceva ce trebuie să vă așteptați de la un bine cunoscut. actor resursat."


Costin Raiu, directorul de cercetare globală Kaspersky, a trecut pe palmares pentru a lăuda ingeniozitatea conținută în sarcina utilă a Slingshot. Într-o declarație, el a comentat că „nu a mai văzut acest vector de atac înainte, mai întâi a piratat routerul și apoi a plecat pentru sysadmin.”

Potrivit lui Raiu, în ciuda faptului că sunt comune, încercările de a hack hack-uri sunt dificile de descoperit. El spune că încărcările utile ale sysadmin sunt un vector de atac extrem de căutat, deoarece oferă hackerilor „cheile regatului”. Potrivit cercetătorului, Slingshot realizează acest lucru folosind o „strategie complet nouă”.

Misterul Slingshot

Încă un mister

Malware-ul routerului Slingshot a fost descoperit din greșeală. Cercetătorii Kaspersky nu sunt încă siguri cu privire la modul în care acesta este livrat către routerele victimelor. Ceea ce se știe, este că cine controlează Slingshot a vizat în principal sarcina utilă pentru routerele fabricate de firma letonă MikroTik.

Deși vectorul atac exact rămâne învăluit în mister, cercetătorii au putut să constate că atacatorii folosesc o utilitate de configurare MikroTik numită Winbox pentru a „descărca fișierele de bibliotecă cu link-uri dinamice din sistemul de fișiere al routerului.” Un fișier particular, ipv4.dll, este încărcat pe memoria mașinii sysadmin de la router înainte de a fi executată. În raportul său, Kaspersky a descris încărcătorul ca fiind „interesant din punct de vedere tehnic”.

Încărcătorul comunică în mod ingenios înapoi la router pentru a descărca componentele mai periculoase ale sarcinii utile (routerul funcționează practic ca serverul de comandă și control al hackerului).

„În urma infecției, Slingshot ar încărca o serie de module pe dispozitivul victimei, inclusiv două uriașe și puternice: Cahnadr, modulul pentru modul kernel și GollumApp, un modul de utilizare a utilizatorului. Cele două module sunt conectate și sunt capabile să se sprijine reciproc în colectarea informațiilor, persistență și exfiltrare de date. "

Vector Kaspersky Attack

Mecanisme avansate Stealth

Poate cel mai impresionant lucru despre Slingshot este capacitatea sa de a evita detectarea. În ciuda faptului că a fost în sălbăticie din 2012 - și încă a fost în funcțiune în ultima lună - Slingshot a evitat până acum. Acest lucru se datorează faptului că utilizează un sistem de fișiere virtuale criptate ascuns în mod intenționat într-o parte neutilizată a hard disk-ului victimei.

Potrivit Kaspersky, segregarea fișierelor malware de sistemul de fișiere îl ajută să rămână nedetectat de programele antivirus. Malware-ul a folosit, de asemenea, criptarea - și a tăiat cu strictețe tactici închise - pentru a opri instrumentele medico-legale să-i detecteze prezența.

Snooping sponsorizat de stat

Slingshot pare să fi fost angajat de un stat nație pentru a efectua spionajul. Programele malware au fost legate de victime în cel puțin 11 țări. Până acum, Kaspersky a descoperit computere infectate în Kenya, Yemen, Afganistan, Libia, Congo, Iordania, Turcia, Irak, Sudan, Somalia și Tanzania.

Majoritatea acestor ținte par a fi persoane fizice. Cu toate acestea, Kaspersky a descoperit dovezi ale unor organizații și instituții guvernamentale vizate. Deocamdată, nimeni nu este sigur cine controlează sarcina utilă sofisticată. Deocamdată, Kaspersky nu a dorit să arate cu degetele. Cu toate acestea, cercetătorii au descoperit mesaje de depanare în codul care au fost scrise în engleză perfectă.

Kaspersky a spus că consideră că sofisticarea lui Slingshot indică un actor sponsorizat de stat. Faptul că conține engleză perfectă poate implica NSA, CIA sau GCHQ. Desigur, este posibil ca dezvoltatorii de malware sponsorizați de stat să se încadreze reciproc făcând ca exploitările lor să pară că au fost create în altă parte:

"Unele dintre tehnicile folosite de Slingshot, cum ar fi exploatarea de șoferi legitimi, dar vulnerabili, au fost văzute anterior în alte programe malware, cum ar fi White și Gray Lambert. Cu toate acestea, atribuirea exactă este întotdeauna grea, dacă nu chiar imposibil de determinat și este tot mai predispusă la manipulare și eroare."

Ce pot face utilizatorii de routere Mikrotik?

Mikrotik a fost informat despre vulnerabilitatea Kaspersky. Utilizatorii de routere Mikrotik trebuie să se actualizeze la cea mai nouă versiune de software cât mai curând posibil pentru a asigura protecția împotriva Slingshot.

Titlu credit imagine: Yuttanas / Shutterstock.com

Credite imagine: Hollygraphic / Shutterstock.com, captură de ecran din raportul Kaspersky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me