Cunning Slingshot Router Malware er først af en art

Der er opdaget malware, der kan hacke computere eksternt fra en router. Malwaren blev opdaget af forskere ved Kaspersky Lab, det kaldes Slingshot ATP. Slingshot-malware er den første af sin art, der nogensinde er blevet opdaget. Det listige design giver det mulighed for at få adgang til sysadmin's maskine uden at installere sig selv der i første omgang.


Det antages, at stealth-malware har været i omløb i 6 år og inficeret mindst 100 computere i den tid. Malware, der får sit navn fra tekst gendannet fra sin kode, er en af ​​de mest avancerede former for malware nogensinde opdaget. Ifølge Kasperskys forskere er den så avanceret, at det sandsynligvis var en stats sponsoreret udvikling.

Ekstremt sofistikeret

Kaspersky beskriver malware i sin 25-siders rapport (pdf), og forklarer, at det sandsynligvis er et sofistikeret værktøj, der udnyttes af et lands efterretningsbureau til spionage:

"Opdagelsen af ​​Slingshot afslører et andet komplekst økosystem, hvor flere komponenter arbejder sammen for at give en meget fleksibel og velsmurt cyber-spionage platform.

"Malware er meget avanceret, og løser alle mulige problemer fra et teknisk perspektiv og ofte på en meget elegant måde, hvor man kombinerer ældre og nyere komponenter i en grundigt gennemtænkt, langvarig drift, noget at forvente af et top-notch godt ressource skuespiller."

Costin Raiu, Kasperskys direktør for global forskning, er gået rekorden for at prise opfindsomheden indeholdt i Slingshot nyttelasten. I en erklæring kommenterede han, at han "aldrig havde set denne angrebsvektor før, først hacket routeren og derefter gå til sysadmin."

Ifølge Raiu er forsøg på at hacke sysadmins vanskelige at afsløre, selvom de er almindelige. Han siger, at sysadmin-nyttelast er en ekstremt efterspurgt angrebsvektor, fordi den giver hackere "nøglerne til kongeriget." Ifølge forskeren opnår Slingshot dette ved hjælp af en "helt ny strategi."

Slingshot Mystery

Stadig et mysterium

Malware-slingshot-routeren blev opdaget ved et uheld. Kaspersky-forskere er stadig usikre på, hvordan det bliver leveret til ofrenes routere. Hvad der vides, er, at den, der kontrollerer Slingshot, primært har målrettet nyttelasten på routere, der er produceret af det lettiske firma MikroTik.

Selvom den nøjagtige angrebsvektor forbliver indhyllet i mystik, var forskerne i stand til at konstatere, at angriberen bruger et MikroTik-konfigurationsværktøj kaldet Winbox til at "downloade dynamiske linkbibliotekfiler fra routerens filsystem." En bestemt fil, ipv4.dll, indlæses på sysadmin-maskinens hukommelse fra routeren, inden den udføres. I sin rapport beskrev Kaspersky loader som "teknisk interessant."

Læsseren kommunikerer genialt tilbage til routeren for at downloade de mere farlige komponenter i nyttelasten (routeren fungerer dybest set som hacker's Command and Control (CnC) server).

”Efter infektion vil Slingshot indlæse et antal moduler på offerenheden, herunder to enorme og magtfulde: Cahnadr, kernemodulmodulet, og GollumApp, et brugermodusmodul. De to moduler er forbundet og er i stand til at understøtte hinanden i informationsindsamling, persistens og dataudfiltrering. ”

Kaspersky Attack Vector

Avancerede stealth-mekanismer

Den mest imponerende ting ved Slingshot er måske dens evne til at undgå detektion. På trods af at han var i naturen siden 2012 - og stadig er i drift i den sidste måned - har Slingshot indtil nu undgået afsløring. Dette er fordi det bruger et krypteret virtuelt filsystem målrettet gemt i en ubrugt del af offerets harddisk.

Ifølge Kaspersky hjælper segregering af malware-filer fra filsystemet det med at forblive uopdaget af antivirusprogrammer. Malware anvendte også kryptering - og skarpt designet lukningstaktik - for at forhindre retsmedicinske værktøjer i at registrere dens tilstedeværelse.

Statssponsoreret snooping

Slingshot ser ud til at have været ansat i en nationalstat til at udføre spionage. Malware er blevet knyttet til ofre i mindst 11 lande. Indtil videre har Kaspersky opdaget inficerede computere i Kenya, Yemen, Afghanistan, Libyen, Congo, Jordan, Tyrkiet, Irak, Sudan, Somalia og Tanzania.

De fleste af disse mål synes at have været individer. Kaspersky afslørede imidlertid beviser for, at nogle regeringsorganisationer og institutioner blev målrettet. Foreløbig er der ingen der er sikker på, hvem der kontrollerer den sofistikerede nyttelast. For tiden har Kaspersky ikke været villige til at pege fingre. Forskerne opdagede dog debugmeddelelser inden for koden, der blev skrevet på perfekt engelsk.

Kaspersky har sagt, at den mener, at Slingshots sofistikerede peger på en statsstøttet skuespiller. Det faktum, at det indeholder perfekt engelsk, kan implicere NSA, CIA eller GCHQ. Selvfølgelig er det muligt for statssponsorde malware-udviklere at ramme indbyrdes ved at få deres udnyttelse tilsyneladende blevet skabt et andet sted:

"Nogle af de teknikker, der bruges af Slingshot, såsom udnyttelse af legitime, men alligevel sårbare drivere, er set før i anden malware, såsom White and Grey Lambert. Imidlertid er nøjagtig attribution altid hård, hvis ikke umulig at bestemme, og i stigende grad tilbøjelig til manipulation og fejl."

Hvad kan brugere af Mikrotik-routere gøre?

Mikrotik er blevet informeret om sårbarheden af ​​Kaspersky. Brugere af Mikrotik-routere skal hurtigst muligt opdatere til den nyeste softwareversion for at sikre beskyttelse mod Slingshot.

Titelbillede: Yuttanas / Shutterstock.com

Billedkreditter: Hollygraphic / Shutterstock.com, skærmbillede fra Kaspersky-rapporten.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me