Le logiciel malveillant Router Slingshot Router est le premier du genre

Un logiciel malveillant a été découvert qui peut pirater des ordinateurs à distance à partir d'un routeur. Le malware a été découvert par des chercheurs de Kaspersky Lab, il s'appelle Slingshot ATP. Le malware Slingshot est le premier du genre jamais découvert. La conception astucieuse lui permet d'accéder à la machine du sysadmin sans s'y installer en premier lieu.

Le malware furtif serait en circulation depuis 6 ans, infectant au moins 100 ordinateurs pendant cette période. Le malware, qui tire son nom du texte récupéré de son code, est l'une des formes de malware les plus avancées jamais découvertes. Selon les chercheurs de Kaspersky, il est si avancé qu'il s'agissait probablement d'un développement financé par l'État.

Extrêmement sophistiqué

Décrivant le malware dans son rapport de 25 pages (pdf), Kaspersky explique qu'il s'agit probablement d'un outil sophistiqué exploité par une agence de renseignement nationale pour espionnage:

"La découverte de Slingshot révèle un autre écosystème complexe où plusieurs composants travaillent ensemble afin de fournir une plate-forme de cyberespionnage très flexible et bien huilée.

"Le logiciel malveillant est très avancé, il résout toutes sortes de problèmes d'un point de vue technique et souvent d'une manière très élégante, combinant des composants plus anciens et plus récents dans une opération à long terme bien pensée, quelque chose à attendre d'un puits de premier ordre. acteur doté de ressources."

Costin Raiu, directeur de la recherche mondiale de Kaspersky, a déclaré publiquement l’ingéniosité contenue dans la charge utile Slingshot. Dans une déclaration, il a commenté qu'il "n'avait jamais vu ce vecteur d'attaque auparavant, d'abord pirater le routeur et ensuite aller pour sysadmin."

Selon Raiu, bien qu'elles soient courantes, les tentatives de piratage des administrateurs système sont difficiles à découvrir. Il dit que les charges utiles sysadmin sont un vecteur d'attaque extrêmement recherché car il donne aux pirates «les clés du royaume». Selon le chercheur, Slingshot y parvient en utilisant une «stratégie complètement nouvelle».

Slingshot Mystery

Encore un mystère

Le malware du routeur Slingshot a été découvert par accident. Les chercheurs de Kaspersky ne savent toujours pas comment ces informations sont transmises aux routeurs des victimes. Ce que l'on sait, c'est que celui qui contrôle Slingshot a principalement ciblé la charge utile sur des routeurs fabriqués par la société lettone MikroTik.

Bien que le vecteur d'attaque exact reste enveloppé de mystère, les chercheurs ont pu vérifier que les attaquants utilisent un utilitaire de configuration MikroTik appelé Winbox pour «télécharger les fichiers de bibliothèque de liens dynamiques à partir du système de fichiers du routeur». Un fichier particulier, ipv4.dll, est chargé sur la mémoire de la machine sysadmin du routeur avant d'être exécutée. Dans son rapport, Kaspersky a décrit le chargeur comme «techniquement intéressant».

Le chargeur communique ingénieusement avec le routeur pour télécharger les composants les plus dangereux de la charge utile (le routeur agit essentiellement comme le serveur de commande et de contrôle (CnC) du pirate).

«Après l'infection, Slingshot chargerait un certain nombre de modules sur le périphérique victime, dont deux énormes et puissants: Cahnadr, le module en mode noyau, et GollumApp, un module en mode utilisateur. Les deux modules sont connectés et capables de se soutenir mutuellement dans la collecte d'informations, la persistance et l'exfiltration des données. »

Vecteur d'attaque Kaspersky

Mécanismes avancés de furtivité

Peut-être la chose la plus impressionnante à propos de Slingshot est sa capacité à éviter la détection. Malgré sa nature sauvage depuis 2012 - et son fonctionnement au cours du dernier mois - Slingshot a jusqu'à présent évité la détection. En effet, il utilise un système de fichiers virtuel chiffré caché à dessein dans une partie inutilisée du disque dur de la victime.

Selon Kaspersky, la séparation des fichiers malveillants du système de fichiers permet de ne pas être détectée par les programmes antivirus. Le logiciel malveillant a également utilisé le chiffrement - et des tactiques d'arrêt judicieusement conçues - pour empêcher les outils médico-légaux de détecter sa présence..

Espionnage parrainé par l'État

Slingshot semble avoir été employé par un État-nation pour effectuer de l'espionnage. Le malware a été associé à des victimes dans au moins 11 pays. Jusqu'à présent, Kaspersky a découvert des ordinateurs infectés au Kenya, au Yémen, en Afghanistan, en Libye, au Congo, en Jordanie, en Turquie, en Irak, au Soudan, en Somalie et en Tanzanie.

La majorité de ces cibles semblent avoir été des individus. Cependant, Kaspersky a découvert des preuves de ciblage de certaines organisations et institutions gouvernementales. Pour l'instant, personne ne sait qui contrôle la charge utile sophistiquée. Pour l'instant, Kaspersky n'a pas voulu pointer du doigt. Cependant, les chercheurs ont découvert des messages de débogage dans le code qui ont été écrits en anglais parfait.

Kaspersky a déclaré qu'il pensait que la sophistication de Slingshot indiquait un acteur parrainé par l'État. Le fait qu'il contienne un anglais parfait peut impliquer la NSA, la CIA ou le GCHQ. Bien sûr, il est possible pour les développeurs de programmes malveillants parrainés par l'État de s'encadrer les uns les autres en faisant apparaître leurs exploits comme ayant été créés ailleurs:

"Certaines des techniques utilisées par Slingshot, telles que l'exploitation de pilotes légitimes, mais vulnérables, ont déjà été vues dans d'autres logiciels malveillants, tels que White et Gray Lambert. Cependant, une attribution précise est toujours difficile, voire impossible à déterminer, et de plus en plus sujette aux manipulations et aux erreurs."

Que peuvent faire les utilisateurs de routeurs Mikrotik?

Mikrotik a été informé de la vulnérabilité par Kaspersky. Les utilisateurs des routeurs Mikrotik doivent mettre à jour vers la dernière version du logiciel dès que possible pour assurer une protection contre Slingshot.

Crédit image titre: Yuttanas / Shutterstock.com

Crédits image: Hollygraphic / Shutterstock.com, capture d'écran du rapport Kaspersky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me