Cunning Slingshot Router Malware är först av ett slag

Malware har upptäckts som kan hacka datorer på distans från en router. Malware upptäcktes av forskare vid Kaspersky Lab, det kallas Slingshot ATP. Slingshot-skadlig kod är den första i sitt slag som någonsin har upptäckts. Den listiga designen gör att den får tillgång till sysadmins maskin utan att själva installera sig där i första hand.

Stealth-malware antas ha varit i omlopp i 6 år och infekterat minst 100 datorer under den tiden. Den skadliga programvaran, som får sitt namn från text som återhämtats från sin kod, är en av de mest avancerade formerna av skadlig programvara som någonsin upptäckts. Enligt Kasperskys forskare är den så avancerad att det troligtvis var en statligt sponsrad utveckling.

Extremt sofistikerad

Kaspersky beskriver skadlig programvara i sin 25-sidiga rapport (pdf) och förklarar att det troligtvis är ett sofistikerat verktyg som utnyttjas av en nationens underrättelsebyrå för spionage:

"Upptäckten av Slingshot avslöjar ett annat komplext ekosystem där flera komponenter arbetar tillsammans för att ge en mycket flexibel och väl oljad cyber-spionage-plattform.

"Malware är mycket avancerad, löser alla typer av problem ur ett tekniskt perspektiv och ofta på ett mycket elegant sätt, och kombinerar äldre och nyare komponenter i en genomtänkt, långsiktig operation, något att förvänta sig av en förstklassig brunn- skådespelare."

Costin Raiu, Kasperskys chef för global forskning, har gett rekordet för att berömma uppfinningen i Slingshot nyttolast. I ett uttalande kommenterade han att han "aldrig sett denna attackvektor förut, först hacka routern och sedan gå för sysadmin."

Enligt Raiu är försök att hacka sysadmins svåra att avslöja trots att de är vanliga. Han säger sysadmin nyttolaster är en extremt eftertraktad attackvektor eftersom den ger hackare "nycklarna till kungariket." Enligt forskaren uppnår Slingshot detta med en "helt ny strategi."

Slingshot Mystery

Fortfarande ett mysterium

Malware för slingshot-routern upptäcktes av misstag. Kaspersky-forskare är fortfarande osäkra på hur det levereras till offrens routrar. Det som är känt är att den som kontrollerar Slingshot främst har riktat nyttolasten på routrar tillverkade av det lettiska företaget MikroTik.

Även om den exakta angreppsvektorn förblir höljd i mysterium, kunde forskare konstatera att angriparna använder ett MikroTik-konfigurationsverktyg som heter Winbox för att "ladda ner dynamiska länkbiblioteksfiler från routerns filsystem." En speciell fil, ipv4.dll, laddas på sysadminmaskinens minne från routern innan den körs. I sin rapport beskrev Kaspersky laddaren som "tekniskt intressant."

Lastaren kommunicerar genialt tillbaka till routern för att ladda ner de farligare komponenterna i nyttolasten (routern fungerar i princip som hacker's Command and Control (CnC) -server).

”Efter infektion laddade Slingshot ett antal moduler på offrenheten, inklusive två enorma och kraftfulla: Cahnadr, kärnmodusmodulen och GollumApp, en modul för användarläge. De två modulerna är anslutna och kan stödja varandra vid informationsinsamling, uthållighet och datautfiltrering. "

Kaspersky Attack Vector

Avancerade stealthmekanismer

Det kanske mest imponerande med Slingshot är dess förmåga att undvika upptäckt. Trots att han var i naturen sedan 2012 - och fortfarande varit i drift under den senaste månaden - har Slingshot hittills undvikit upptäckt. Detta beror på att det använder ett krypterat virtuellt filsystem som är avsiktligt dolt i en oanvänd del av offrets hårddisk.

Enligt Kaspersky hjälper segregering av skadliga programfiler från filsystemet det att förbli oupptäckt av antivirusprogram. Malwaren använde också kryptering - och snyggt utformad avstängningstaktik - för att hindra kriminaltekniska verktyg från att upptäcka dess närvaro.

Statligt sponsrad snooping

Slingshot verkar ha använts av en nationalstat för att utföra spionage. Det skadliga programmet har kopplats till offer i minst 11 länder. Hittills har Kaspersky upptäckt infekterade datorer i Kenya, Yemen, Afghanistan, Libyen, Kongo, Jordanien, Turkiet, Irak, Sudan, Somalia och Tanzania.

Majoriteten av dessa mål verkar ha varit individer. Kaspersky avslöjade emellertid bevis för att vissa statliga organisationer och institutioner var riktade. För närvarande är ingen säker på vem som kontrollerar den sofistikerade nyttolasten. För närvarande har Kaspersky varit ovillig att peka fingrarna. Men forskarna upptäckte felsökningsmeddelanden inom koden som var skriven på perfekt engelska.

Kaspersky har sagt att den tror att Slingshots sofistikerade pekar på en statligt sponsrad skådespelare. Det faktum att det innehåller perfekt engelska kan påverka NSA, CIA eller GCHQ. Naturligtvis är det möjligt för statligt sponsrade malware-utvecklare att rama in varandra genom att göra att deras exploater verkar ha skapats någon annanstans:

"Några av de tekniker som används av Slingshot, till exempel utnyttjande av legitima, men ändå sårbara förare, har sett tidigare i andra skadliga program, som White and Grey Lambert. Emellertid är noggrann attribution alltid svår, om inte omöjlig att fastställa, och allt mer benägna att manipulera och misstag."

Vad kan användare av Mikrotik-routrar göra?

Mikrotik har informerats om sårbarheten av Kaspersky. Användare av Mikrotik-routrar måste uppdatera till den senaste programvaruversionen så snart som möjligt för att säkerställa skyddet mot Slingshot.

Titelbild: Yuttanas / Shutterstock.com

Bildkrediter: Hollygraphic / Shutterstock.com, skärmdump från Kaspersky-rapporten.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me