Otkriven je zlonamjerni softver koji može hakirati računala udaljenim putem s usmjerivača. Zlonamjerni softver otkrili su istraživači u laboratoriju Kaspersky, a zove se Slingshot ATP. Zloćudni softver Slingshot prvi je takve vrste koja je ikada otkrivena. Lukav dizajn omogućava mu pristup sistemu sysadmin-a bez da se zapravo tamo instalira.

Vjeruje se da je zlonamjerni softver u prometu 6 godina, a zarazilo je najmanje 100 računala u to vrijeme. Zlonamjerni softver, koji je ime dobio po tekstu oporavljenom iz svog koda, jedan je od najnaprednijih oblika zlonamjernog softvera ikada otkrivenih. Prema Kasperskyjevim istraživačima, toliko je napredan da je vjerojatno bio razvoj sponzoriran od države.

Izuzetno sofisticiran

Opisujući zlonamjerni softver u svom izvješću od 25 stranica (pdf), Kaspersky objašnjava da je vjerovatno da će to špijunsko upravljanje koristiti nacionalni alat za špijunažu:

"Otkriće Slingshota otkriva još jedan složeni ekosustav u kojem više komponenti rade zajedno kako bi pružili vrlo fleksibilnu i dobro nauljenu platformu za cyber-špijunažu.

"Zlonamjerni softver je vrlo napredan, rješava sve vrste problema iz tehničke perspektive i često na vrlo elegantan način, kombinirajući starije i novije komponente u temeljito promišljenom, dugoročnom radu, nešto što se može očekivati ​​od vrhunskog, dobrog - resursa s resursima."


Costin Raiu, direktor globalnog istraživanja Kaspersky, pokrenuo je rekord da bi pohvalio domišljatost sadržanu u Slingshot-u. U izjavi je komentirao kako "nikada prije nije vidio ovaj vektor napada, prvo hakira usmjerivač, a zatim idite na sysadmin."

Prema Raiuu, iako su česti, pokušaji hakiranja sysadmina su otkriti. Kaže da je sysadmin korisni teret izuzetno tražen vektor napada jer on hakerima daje "ključeve kraljevstva". Prema istraživačima, Slingshot to postiže pomoću "potpuno nove strategije".

Misterije o praćku

Ipak misterija

Zlonamjerni softver usmjerivača Slingshot otkriven je slučajno. Kaspersky istraživači još uvijek nisu sigurni kako se on isporučuje usmjerivačima žrtava. Ono što se zna, jest da je onaj tko kontrolira Slingshot prvenstveno ciljani teret na usmjerivačima koje proizvodi latvijska tvrtka MikroTik.

Iako tačan vektor napada ostaje obavijen misterijom, istraživači su uspjeli utvrditi da napadači koriste MikroTik konfiguracijski program nazvan Winbox za "preuzimanje datoteka dinamičkih datoteka biblioteke veza iz datotečnog sustava usmjerivača." Jedna određena datoteka, ipv4.dll, učitava se na memorija sysadmin stroja s usmjerivača prije izvršavanja. U svom izvješću Kaspersky je utovarivač opisao kao "tehnički zanimljivog".

Utovarivač genijalno se vraća ruteru radi preuzimanja opasnijih komponenti korisnog opterećenja (usmjerivač u osnovi djeluje kao hakerski narednik za upravljanje i kontrolu (CnC)).

„Nakon infekcije, Slingshot bi učitao brojne module na žrtvin uređaj, uključujući dva ogromna i snažna: Cahnadr, modul u obliku kernel-a i GollumApp, modul korisničkog načina. Dva modula su međusobno povezana i međusobno se podržavaju u prikupljanju informacija, upornosti i pročišćavanju podataka. "

Kaspersky Attack Vector

Napredni stealth mehanizmi

Možda najizglednija stvar Slingshota je njegova sposobnost izbjegavanja otkrivanja. Iako je bio u divljini od 2012. godine - i još uvijek je aktivan tijekom posljednjeg mjeseca - Slingshot je do sada izbjegavao otkrivanje. To je zato što koristi šifrirani virtualni datotečni sustav koji je namjerno skriven u neiskorištenom dijelu tvrdog diska žrtve.

Prema Kasperskyu, izdvajanje datoteka zlonamjernog softvera iz datotečnog sustava pomaže mu da ostane neotkriven od antivirusnih programa. Zlonamjerni softver je također koristio šifriranje - i promišljeno dizajnirane taktike isključivanja - kako bi spriječio forenzičke alate u otkrivanju njegove prisutnosti.

Državno sponzorirano njuškanje

Čini se da je Slingshot nacionalna država zaposlila za špijunažu. Zlonamjerni softver povezan je sa žrtvama u najmanje 11 zemalja. Kaspersky je do sada otkrio zaražena računala u Keniji, Jemenu, Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji.

Čini se da su većina tih meta bili pojedinci. Kaspersky je međutim otkrio dokaze da su neke vladine organizacije i institucije bile ciljane. Za sada nitko nije siguran tko kontrolira sofisticirani korisni teret. Za sada Kaspersky nije bio voljan pokazivati ​​prste. Međutim, istraživači su otkrili ispravke pogrešaka unutar koda koje su napisane na savršenom engleskom.

Kaspersky je rekao kako vjeruje da sofisticiranost Slingshot-a ukazuje na glumca kojeg sponzorira država. Činjenica da sadrži savršeni engleski jezik može implicirati NSA, CIA ili GCHQ. Naravno, moguće je da programeri zlonamjernog softvera koji su sponzorirali država međusobno uokviruju čineći da se njihovi podvizi čini da su stvoreni drugdje:

"Neke od tehnika koje koristi Slingshot, kao što je iskorištavanje zakonitih, ali ranjivih vozača već smo vidjeli u drugim zlonamjernim softverima, kao što su White i Gray Lambert. Međutim, točno je pripisivanje uvijek teško, ako ne i nemoguće odrediti te je sve sklonije manipulacijama i pogreškama."

Što mogu učiniti korisnici Mikrotik usmjerivača?

Mikrotik je o ranjivosti obavijestio Kaspersky. Korisnici Mikrotik usmjerivača moraju se ažurirati na najnoviju verziju softvera što je prije moguće kako bi se osigurala zaštita od Slingshot-a.

Kreditna slika naslova: Yuttanas / Shutterstock.com

Slikovni prilozi: Hollygraphic / Shutterstock.com, snimka zaslona iz izvješća Kaspersky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me