Schlauer Slingshot Router Malware ist einzigartig

Es wurde Malware entdeckt, die Computer von einem Router aus hacken kann. Die Malware wurde von Forschern von Kaspersky Lab entdeckt und heißt Slingshot ATP. Die Slingshot-Malware ist die erste ihrer Art, die jemals entdeckt wurde. Das raffinierte Design ermöglicht es ihm, auf den Rechner des Sysadmins zuzugreifen, ohne sich dort selbst zu installieren.


Es wird angenommen, dass die Stealth-Malware seit 6 Jahren im Umlauf ist und in dieser Zeit mindestens 100 Computer infiziert hat. Die Malware, die ihren Namen von dem aus dem Code wiederhergestellten Text hat, ist eine der fortschrittlichsten Formen von Malware, die jemals entdeckt wurden. Laut Kaspersky-Forschern ist es so weit fortgeschritten, dass es sich wahrscheinlich um eine staatlich geförderte Entwicklung handelte.

Extrem ausgereift

Kaspersky beschreibt die Malware in seinem 25-seitigen Bericht (pdf) und erklärt, dass es sich wahrscheinlich um ein ausgeklügeltes Tool handelt, das vom Geheimdienst eines Landes für Spionagezwecke ausgenutzt wird:

"Die Entdeckung von Slingshot offenbart ein weiteres komplexes Ökosystem, in dem mehrere Komponenten zusammenarbeiten, um eine sehr flexible und gut geölte Cyberspionage-Plattform bereitzustellen.

"Die Malware ist weit fortgeschritten, löst alle möglichen Probleme aus technischer Sicht und oft auf sehr elegante Weise. Sie kombiniert ältere und neuere Komponenten in einem durchdachten, langfristigen Betrieb, was von einem erstklassigen Unternehmen zu erwarten ist. Schauspieler."

Costin Raiu, Direktor für globale Forschung bei Kaspersky, hat den Erfindergeist der Slingshot-Nutzlast gelobt. In einer Erklärung kommentierte er, dass er "noch nie diesen Angriffsvektor gesehen habe. Hacken Sie zuerst den Router und greifen Sie dann zu Sysadmin."

Laut Raiu sind Versuche, Sysadmins zu hacken, trotz der Tatsache, dass sie weit verbreitet sind, schwierig aufzudecken. Er sagt, dass Sysadmin-Payloads ein äußerst gefragter Angriffsvektor sind, weil sie Hackern "die Schlüssel zum Königreich" geben. Laut den Forschern erreicht Slingshot dies mit einer "völlig neuen Strategie".

Schleuder-Geheimnis

Immer noch ein Rätsel

Die Malware des Slingshot-Routers wurde versehentlich entdeckt. Die Forscher von Kaspersky sind sich immer noch unsicher, wie es an die Router der Opfer weitergeleitet wird. Es ist bekannt, dass derjenige, der Slingshot steuert, in erster Linie die Nutzlast auf Router abzielt, die von der lettischen Firma MikroTik hergestellt werden.

Obwohl der genaue Angriffsvektor im Dunkeln liegt, konnten Forscher feststellen, dass die Angreifer ein MikroTik-Konfigurationsdienstprogramm namens Winbox verwenden, um „dynamische Linkbibliotheksdateien aus dem Dateisystem des Routers herunterzuladen“. Eine bestimmte Datei, ipv4.dll, wird geladen den Speicher des Sysadmin-Rechners vom Router, bevor er ausgeführt wird. Kaspersky beschrieb den Loader in seinem Bericht als "technisch interessant".

Der Loader kommuniziert auf raffinierte Weise mit dem Router, um die gefährlicheren Komponenten der Nutzlast herunterzuladen (der Router fungiert im Wesentlichen als CnC-Server (Command and Control) des Hackers)..

„Nach der Infektion hat Slingshot eine Reihe von Modulen auf das Opfergerät geladen, darunter zwei große und leistungsstarke: Cahnadr, das Kernel-Modus-Modul, und GollumApp, ein Benutzermodus-Modul. Die beiden Module sind miteinander verbunden und können sich gegenseitig bei der Erfassung, Persistenz und Datenexfiltration von Informationen unterstützen. “

Kaspersky Attack Vector

Fortgeschrittene Stealth-Mechanismen

Das vielleicht beeindruckendste an Slingshot ist seine Fähigkeit, der Entdeckung zu entgehen. Obwohl Slingshot seit 2012 in freier Wildbahn ist und im letzten Monat immer noch in Betrieb ist, konnte es bisher nicht entdeckt werden. Dies liegt daran, dass ein verschlüsseltes virtuelles Dateisystem verwendet wird, das in einem nicht verwendeten Teil der Festplatte des Opfers absichtlich versteckt ist.

Laut Kaspersky hilft die Trennung der Malware-Dateien vom Dateisystem, dass sie von Antivirenprogrammen nicht erkannt werden. Die Malware verwendete auch Verschlüsselung - und arbeitete geschickt mit Methoden zum Herunterfahren -, um zu verhindern, dass forensische Tools das Vorhandensein von Malware erkennen.

Staatlich gesponsertes Schnüffeln

Slingshot scheint von einem Nationalstaat zur Durchführung von Spionage eingesetzt worden zu sein. Die Malware wurde mit Opfern in mindestens 11 Ländern in Verbindung gebracht. Bislang hat Kaspersky infizierte Computer in Kenia, Jemen, Afghanistan, Libyen, im Kongo, in Jordanien, in der Türkei, im Irak, im Sudan, in Somalia und in Tansania entdeckt.

Die meisten dieser Ziele scheinen Einzelpersonen gewesen zu sein. Kaspersky hat jedoch Beweise dafür gefunden, dass einige Regierungsorganisationen und -institutionen ins Visier genommen wurden. Derzeit ist niemand sicher, wer die anspruchsvolle Nutzlast steuert. Kaspersky war vorerst nicht gewillt, mit den Fingern zu zeigen. Die Forscher entdeckten jedoch Debug-Meldungen innerhalb des Codes, die in perfektem Englisch geschrieben waren.

Kaspersky glaubt, dass die Raffinesse von Slingshot auf einen staatlich geförderten Schauspieler hindeutet. Die Tatsache, dass es perfektes Englisch enthält, kann die NSA, CIA oder GCHQ implizieren. Natürlich ist es für staatlich geförderte Malware-Entwickler möglich, sich gegenseitig einzurahmen, indem ihre Exploits anscheinend woanders erstellt wurden:

"Einige der von Slingshot verwendeten Techniken, wie die Ausbeutung legitimer, aber anfälliger Treiber, wurden bereits in anderen Malware-Programmen wie White und Grey Lambert verwendet. Eine genaue Zuordnung ist jedoch immer schwieriger, wenn nicht sogar unmöglich zu bestimmen, und ist zunehmend manipulations- und fehleranfällig."

Was können Benutzer von Mikrotik-Routern tun??

Mikrotik wurde von Kaspersky über die Sicherheitslücke informiert. Benutzer von Mikrotik-Routern müssen so schnell wie möglich auf die neueste Softwareversion aktualisieren, um den Schutz vor Slingshot zu gewährleisten.

Bildnachweis für das Titelbild: Yuttanas / Shutterstock.com

Bildnachweis: Hollygraphic / Shutterstock.com, Screenshot aus dem Kaspersky-Bericht.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me