Viltti Slingshot Router -haittaohjelma on ainutlaatuinen

Haittaohjelmia on havaittu, jotka voivat hakkeroida tietokoneita etäältä reitittimeltä. Haittaohjelmat löysivät Kaspersky Labin tutkijat. Sitä kutsutaan Slingshot ATP. Slingshot-haittaohjelma on ensimmäinen laatuaan, joka on koskaan löydetty. Taitava suunnittelu antaa sille pääsyn sysadmin-koneeseen asentamatta itseään sinne ensin.


Varkauden haittaohjelman uskotaan olleen liikkeessä 6 vuotta, ja saastuttanut tuolloin ainakin 100 tietokonetta. Haittaohjelma, joka saa nimensä koodistaan ​​palautetusta tekstistä, on yksi edistyneimmistä haittaohjelmamuodoista. Kasperskyn tutkijoiden mukaan se on niin edennyt, että se oli todennäköisesti valtion tukema kehitys.

Erittäin hienostunut

Kuvailemalla haittaohjelmia 25-sivuisessa raportissaan (pdf) Kaspersky selittää, että todennäköisesti hienostunut työkalu, jota kansakunnan tiedustelupalvelu käyttää hyväksi vakoilua varten:

"Slingshotin löytö paljastaa toisen monimutkaisen ekosysteemin, jossa useat komponentit toimivat yhdessä, jotta saadaan aikaan erittäin joustava ja hyvin öljytty kyberesvakoitusalusta.

"Haittaohjelma on erittäin edistyksellinen, ja se ratkaisee kaikenlaisia ​​ongelmia teknisestä näkökulmasta ja usein erittäin tyylikkäästi, yhdistämällä vanhemmat ja uudemmat komponentit perusteellisesti harkittuun, pitkäaikaiseen toimintaan, jota voidaan odottaa huippuluokan hyvin- resursseilla toimija."

Kasperskyn globaalin tutkimuksen johtaja Costin Raiu on mennyt levylle kiittämään Slingshot-hyötykuorman kekseliäisyyttä. Lausunnossaan hän kommentoi, että hän ei ollut "koskaan nähnyt tätä hyökkäysvektoria aikaisemmin, hakkeroi ensin reititin ja mennä sitten sysadminiin".

Raiun mukaan huolimatta siitä, että sysadminit ovat yleisiä, on vaikea paljastaa yrityksiä. Hänen mukaansa sysadminin hyötykuormat ovat erittäin kysyttyjä hyökkäysvektoreita, koska se antaa hakkereille ”avaimet valtakuntaan”. Tutkijan mukaan Slingshot saavuttaa tämän käyttämällä ”täysin uutta strategiaa”.

Slingshot Mystery

Silti mysteeri

Slingshot-reitittimen haittaohjelma löydettiin vahingossa. Kaspersky-tutkijat ovat edelleen epävarmoja siitä, miten se toimitetaan uhrin reitittimille. Tiedetään, että se, joka hallitsee Slingshotia, on ensisijaisesti kohdistanut hyötykuorman latvialaisen MikroTik-yrityksen valmistamiin reitittimiin..

Vaikka tarkka hyökkäysvektori on edelleen salaperäinen, tutkijat pystyivät varmistamaan, että hyökkääjät käyttävät MikroTik-asetusohjelmaa, nimeltään Winbox, “ladataksesi dynaamisten linkkikirjastojen tiedostoja reitittimen tiedostojärjestelmästä.” Yksi tietty tiedosto, ipv4.dll, ladataan sysadmin-koneen muisti reitittimeltä ennen suorittamista. Kaspersky kuvasi raportissaan kuormaajaa "teknisesti mielenkiintoiseksi".

Kuormaaja kommunikoi nerokkaasti takaisin reitittimelle ladataksesi hyötykuorman vaarallisemmat komponentit (reititin toimii periaatteessa hakkerin Command and Control (CnC) -palvelimena).

”Tartunnan jälkeen Slingshot latasi useita moduuleja uhrin laitteeseen, mukaan lukien kaksi suurta ja voimakasta moduulia: Cahnadr, ytimen moodimoduuli ja GollumApp, käyttäjän moodimoduuli. Molemmat moduulit ovat kytketty toisiinsa ja pystyvät tukemaan toisiaan tiedonkeruussa, pysyvyydessä ja datan suodattamisessa. "

Kaspersky Attack Vector

Advanced Stealth -mekanismit

Ehkä kaikkein vaikuttavin asia Slingshotissa on sen kyky välttää havaitsemista. Huolimatta siitä, että se on ollut luonnossa vuodesta 2012 - ja on edelleen ollut toiminnassa viimeisen kuukauden aikana - Slingshot on toistaiseksi välttänyt havaitsemista. Tämä johtuu siitä, että se käyttää salattua virtuaalista tiedostojärjestelmää, joka on tarkoituksella piilotettu uhrin kiintolevyn käyttämättömään osaan.

Kasperskyn mukaan haittaohjelmatiedostojen erottaminen tiedostojärjestelmästä auttaa virustentorjuntaohjelmia havaitsemaan sen. Haittaohjelma käytti myös salausta - ja taitavasti suunniteltua sammutustaktiikkaa - estääkseen oikeuslääketieteellisiä työkaluja havaitsemasta sen olemassaoloa.

Valtion sponsoroima snooping

Slingshot näyttää käyneen kansallisvaltiossa vakoilun suorittamiseen. Haittaohjelmat on liitetty uhreihin ainakin 11 maassa. Toistaiseksi Kaspersky on löytänyt tartunnan saaneet tietokoneet Keniassa, Jemenissä, Afganistanissa, Libyassa, Kongossa, Jordaniassa, Turkissa, Irakissa, Sudanissa, Somaliassa ja Tansaniassa..

Suurin osa näistä kohteista näyttää olevan yksilöitä. Kaspersky kuitenkin löysi todisteita joidenkin hallituksen organisaatioiden ja instituutioiden kohdentamisesta. Toistaiseksi kukaan ei ole varma kuka hallitsee hienostunutta hyötykuormaa. Toistaiseksi Kaspersky ei ole halunnut osoittaa sormet. Tutkijat löysivät kuitenkin virheenkorjausviestit koodista, jotka oli kirjoitettu täydellisenä englanniksi.

Kaspersky on sanonut uskovansa, että Slingshotin hienostuneisuus osoittaa valtion tukeman näyttelijän. Se, että se sisältää täydellisen englannin kielen, voi merkitä NSA: ta, CIA: ta tai GCHQ: ta. Tietysti on mahdollista, että valtion tukemat haittaohjelmien kehittäjät kehystävät toisiaan tekemällä hyökkäyksensä näyttävän luoneina muualla:

"Jotkut Slingshotin käyttämistä tekniikoista, kuten laillisten, mutta silti haavoittuvien kuljettajien hyväksikäyttö, on nähty aiemmin muissa haittaohjelmissa, kuten Valkoinen ja Harmaa Lambert. Tarkka määritys on kuitenkin aina vaikeaa, ellei mahdotonta määrittää, ja altis manipulointiin ja virheisiin."

Mitä Mikrotik-reitittimien käyttäjät voivat tehdä?

Kaspersky on ilmoittanut Mikrotikille haavoittuvuudesta. Mikrotik-reitittimien käyttäjien on päivitettävä uusimpaan ohjelmistoversioon mahdollisimman pian varmistaaksesi suojauksen Slingshotilta.

Otsikkokuvaus: Yuttanas / Shutterstock.com

Kuvahyvitykset: Hollygraphic / Shutterstock.com, kuvakaappaus Kaspersky-raportista.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me