Cunning Slingshot Router Il malware è First of a Kind

È stato scoperto malware che può hackerare i computer in remoto da un router. Il malware è stato scoperto dai ricercatori di Kaspersky Lab, si chiama Slingshot ATP. Il malware Slingshot è il primo del suo genere che sia mai stato scoperto. Il design astuto gli consente di accedere alla macchina del sysadmin senza installarsi effettivamente lì, in primo luogo.

Si ritiene che il malware stealth sia in circolazione da 6 anni, infettando almeno 100 computer in quel momento. Il malware, che prende il nome dal testo recuperato dal suo codice, è una delle forme più avanzate di malware mai scoperte. Secondo i ricercatori di Kaspersky, è così avanzato che probabilmente è stato uno sviluppo sponsorizzato dallo stato.

Estremamente sofisticato

Descrivendo il malware nel suo rapporto di 25 pagine (pdf), Kaspersky spiega che è probabilmente uno strumento sofisticato sfruttato dall'agenzia di intelligence di una nazione per lo spionaggio:

"La scoperta di Slingshot rivela un altro ecosistema complesso in cui più componenti lavorano insieme per fornire una piattaforma di cyber-spionaggio molto flessibile e ben oliata.

"Il malware è altamente avanzato, risolve tutti i tipi di problemi da un punto di vista tecnico e spesso in modo molto elegante, combinando componenti vecchi e nuovi in ​​un'operazione a lungo termine accuratamente pensata, qualcosa che ci si aspetta da un pozzo di prim'ordine- attore con risorse."

Costin Raiu, il direttore della ricerca globale di Kaspersky, è stato registrato per lodare l'ingegnosità contenuta nel payload di Slingshot. In una dichiarazione, ha commentato che "non aveva mai visto questo vettore di attacco prima, prima ha hackerato il router e poi ha scelto l'amministratore di sistema".

Secondo Raiu, nonostante sia comune, i tentativi di hackerare gli amministratori di sistema sono difficili da scoprire. Dice che i payload di sysadmin sono un vettore di attacco estremamente ricercato perché forniscono agli hacker "le chiavi del regno". Secondo il ricercatore, Slingshot ottiene questo risultato usando una "strategia completamente nuova".

Mistero della fionda

Ancora un mistero

Il malware del router Slingshot è stato scoperto per caso. I ricercatori di Kaspersky non sono ancora sicuri su come venga consegnato ai router delle vittime. Ciò che è noto, è che chiunque controlli Slingshot ha principalmente indirizzato il carico utile ai router prodotti dalla società lettone MikroTik.

Sebbene l'esatto vettore di attacco rimanga avvolto nel mistero, i ricercatori sono stati in grado di accertare che gli aggressori utilizzano un'utilità di configurazione MikroTik chiamata Winbox per "scaricare i file della libreria a collegamento dinamico dal file system del router". Un particolare file, ipv4.dll, viene caricato su la memoria della macchina amministratore di sistema dal router prima di essere eseguita. Nel suo rapporto, Kaspersky ha descritto il caricatore come "tecnicamente interessante".

Il caricatore comunica ingegnosamente al router per scaricare i componenti più pericolosi del payload (il router agisce fondamentalmente come il server Command and Control (CnC) dell'hacker).

“Dopo l'infezione, Slingshot caricava un numero di moduli sul dispositivo vittima, inclusi due enormi e potenti: Cahnadr, il modulo in modalità kernel e GollumApp, un modulo in modalità utente. I due moduli sono collegati e in grado di supportarsi a vicenda nella raccolta di informazioni, persistenza ed esfiltrazione dei dati. "

Kaspersky Attack Vector

Meccanismi furtivi avanzati

Forse la cosa più impressionante di Slingshot è la sua capacità di evitare il rilevamento. Nonostante sia allo stato brado dal 2012 - e sia ancora operativo nell'ultimo mese - la fionda ha finora evitato il rilevamento. Questo perché utilizza un file system virtuale crittografato nascosto intenzionalmente in una parte inutilizzata del disco rigido della vittima.

Secondo Kaspersky, separare i file malware dal file system aiuta a non essere rilevato dai programmi antivirus. Il malware ha anche utilizzato la crittografia - e tattiche di spegnimento progettate con accortezza - per impedire agli strumenti forensi di rilevare la sua presenza.

Snooping sponsorizzato dallo stato

La fionda sembra essere stata impiegata da uno stato nazionale per eseguire lo spionaggio. Il malware è stato collegato alle vittime in almeno 11 paesi. Finora, Kaspersky ha scoperto i computer infetti in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania.

La maggior parte di quegli obiettivi sembrano essere individui. Tuttavia, Kaspersky ha scoperto prove di alcune organizzazioni e istituzioni governative prese di mira. Per ora, nessuno è sicuro di chi controlla il sofisticato payload. Per il momento, Kaspersky non è stato disposto a puntare le dita. Tuttavia, i ricercatori hanno scoperto messaggi di debug all'interno del codice scritti in un inglese perfetto.

Kaspersky ha affermato di ritenere che la raffinatezza di Slingshot sia rivolta a un attore sponsorizzato dallo stato. Il fatto che contenga un inglese perfetto può implicare NSA, CIA o GCHQ. Ovviamente, è possibile che gli sviluppatori di malware sponsorizzati dallo stato si inquadrino l'un l'altro facendo sembrare che i loro exploit siano stati creati altrove:

"Alcune delle tecniche utilizzate da Slingshot, come lo sfruttamento di driver legittimi, ma vulnerabili, sono state già viste in altri malware, come White e Grey Lambert. Tuttavia, l'attribuzione accurata è sempre difficile, se non impossibile da determinare, e sempre più soggetta a manipolazione ed errore."

Cosa possono fare gli utenti dei router Mikrotik?

Mikrotik è stato informato della vulnerabilità da Kaspersky. Gli utenti dei router Mikrotik devono aggiornare il più presto possibile alla versione più recente del software per garantire protezione contro Slingshot.

Credito immagine titolo: Yuttanas / Shutterstock.com

Crediti immagine: Hollygraphic / Shutterstock.com, screenshot dal rapporto Kaspersky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me