Cunning Slingshot Router Malware je první svého druhu

Byl objeven malware, který dokáže vzdáleně hacknout počítače ze směrovače. Malware byl objeven vědci společnosti Kaspersky Lab, nazývá se Slingshot ATP. Malware Slingshot je první svého druhu, který byl kdy objeven. Promyšlený design mu umožňuje získat přístup k počítači sysadmin, aniž by se tam na prvním místě nainstaloval.


Předpokládá se, že tajný malware byl v oběhu 6 let a infikoval v té době nejméně 100 počítačů. Malware, který získává své jméno z textu získaného z kódu, je jednou z nejpokročilejších forem malwaru, která byla kdy objevena. Podle vědců společnosti Kaspersky je to tak vyspělé, že to byl pravděpodobně vývoj podporovaný státem.

Velmi sofistikované

Kaspersky popisuje malware ve své 25stránkové zprávě (pdf) a vysvětluje, že je to pravděpodobně sofistikovaný nástroj využívaný zpravodajskou agenturou pro špionáž:

"Objev Slingshot odhaluje další složitý ekosystém, kde více složek spolupracuje, aby poskytly velmi flexibilní a dobře naolejovanou platformu kybernetické špionáže.

"Malware je vysoce pokročilý, řeší všechny druhy problémů z technického hlediska a často velmi elegantním způsobem, kombinuje starší a novější komponenty v důkladně promyšlené, dlouhodobé operaci, což lze očekávat od prvotřídní studny - zdrojový herec."

Costin Raiu, ředitel globálního výzkumu Kaspersky, zaznamenal rekord a ocenil vynalézavost obsaženou v užitečném zatížení Slingshot. V prohlášení uvedl, že „nikdy předtím neviděl tento útočný vektor, nejprve hacknul router a poté se vydal na sysadmin“.

Podle Raiu, i když jsou běžné, pokusy o hackování sysadminů je obtížné odhalit. Říká, že užitečná zatížení sysadminu jsou velmi vyhledávaným útočným vektorem, protože hackerům dává „klíče od království“. Podle výzkumníka to Slingshot dosahuje pomocí „zcela nové strategie“.

Prakové tajemství

Stále záhadou

Malware routeru Slingshot byl objeven náhodou. Vědci společnosti Kaspersky si stále nejsou jisti, jak se dostane na směrovače obětí. Je známo, že ten, kdo ovládá Slingshot, se primárně zaměřil na užitečné zatížení u směrovačů vyráběných lotyšskou firmou MikroTik..

Přestože přesný vektor útoku zůstává zahalen tajemstvím, vědci dokázali zjistit, že útočníci používají konfigurační program MikroTik s názvem Winbox, aby „stahovali soubory dynamických knihoven ze systému souborů routeru.“ Jeden konkrétní soubor, ipv4.dll, je načten do paměti stroje sysadmin ze směrovače před spuštěním. Kaspersky ve své zprávě popsal zavaděč jako „technicky zajímavý“.

Zavaděč důmyslně komunikuje zpět do routeru, aby stáhl nebezpečnější komponenty užitečného zatížení (router v podstatě funguje jako hackerův příkazový a kontrolní server (CnC)).

"Po infekci by Slingshot načetl na modul oběti několik modulů, včetně dvou obrovských a výkonných modulů: Cahnadr, modul v režimu jádra a GollumApp, modul v uživatelském režimu." Oba moduly jsou propojeny a jsou schopny se navzájem podporovat při shromažďování informací, perzistenci a exfiltraci dat. “

Kaspersky Attack Vector

Pokročilé mechanismy utajení

Asi nejpůsobivější věcí na Slingshot je jeho schopnost zabránit detekci. Přestože je od roku 2012 ve volné přírodě - a stále je v provozu během posledního měsíce - Slingshot se až doposud vyhnul detekci. Je to proto, že používá šifrovaný virtuální souborový systém záměrně skrytý v nepoužité části pevného disku oběti.

Podle společnosti Kaspersky pomáhá oddělení antivirových programů oddělování souborů malwaru od systému souborů. Malware také používal šifrování - a přísně navrženou taktiku vypnutí - aby zabránil forenzním nástrojům v detekci jeho přítomnosti..

Stát je sponzorovaný Snooping

Zdá se, že prak byl zaměstnán národním státem k provádění špionáže. Malware byl spojen s oběťmi v nejméně 11 zemích. Kaspersky dosud objevil napadené počítače v Keni, Jemenu, Afghánistánu, Libyi, Kongu, Jordánsku, Turecku, Iráku, Súdánu, Somálsku a Tanzanii..

Zdá se, že většina těchto cílů jsou jednotlivci. Kaspersky však odhalil důkazy o zacílení některých vládních organizací a institucí. Zatím si nikdo není jistý, kdo řídí sofistikované užitečné zatížení. Kaspersky prozatím nebyl ochoten ukázat prsty. Vědci však objevili zprávy o ladění v kódu, které byly napsány v perfektní angličtině.

Kaspersky uvedl, že věří, že sofistikovanost Slingshot ukazuje na státem podporovaného herce. Skutečnost, že obsahuje perfektní angličtinu, může zahrnovat NSA, CIA nebo GCHQ. Samozřejmě je možné, aby vývojáři malwaru podporovaní státem navzájem vytvářeli rámečky tak, že jejich využití bude vypadat, že byly vytvořeny jinde:

"Některé z technik používaných společností Slingshot, jako je zneužití legitimních, přesto zranitelných ovladačů, byly již dříve pozorovány v jiných malwarech, jako je White and Grey Lambert. Přesné přiřazení je však vždy obtížné, ne-li nemožné, a stále více je náchylné k manipulaci a chybám."

Co mohou uživatelé Mikrotik routerů dělat?

Mikrotik byl společností Kaspersky informován o zranitelnosti. Uživatelé routerů Mikrotik se musí co nejdříve aktualizovat na nejnovější verzi softwaru, aby byla zajištěna ochrana proti Slingshot.

Kredit na obrázek titulu: Yuttanas / Shutterstock.com

Obrazové kredity: Hollygraphic / Shutterstock.com, snímek obrazovky ze zprávy společnosti Kaspersky.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me