Cunning Slingshot Router Malware er først av en slag

Det er oppdaget skadelig programvare som kan hacke datamaskiner eksternt fra en ruter. Den skadelige programvaren ble oppdaget av forskere ved Kaspersky Lab, det kalles Slingshot ATP. Slingshot-malware er den første i sitt slag som noen gang har blitt oppdaget. Den utspekulerte designen gjør at den får tilgang til sysadmin-maskinen uten å installere seg selv der i utgangspunktet.


Det antas at stealth-malware har vært i opplag i 6 år og smittet minst 100 datamaskiner i den tiden. Den skadelige programvaren, som får navnet sitt fra tekst som er gjenopprettet fra koden, er en av de mest avanserte formene for skadelig programvare som noen gang er oppdaget. I følge Kasperskys forskere er den så avansert at det sannsynligvis var en statsstøttet utvikling.

Ekstremt sofistikert

Kaspersky beskriver skadelig programvare i sin 25-siders rapport (pdf), og forklarer at det sannsynligvis er et sofistikert verktøy som blir utnyttet av et nasjons etterretningsorgan for spionasje:

"Oppdagelsen av Slingshot avslører et annet komplekst økosystem der flere komponenter samarbeider for å gi en veldig fleksibel og oljet cyber-spionasjeplattform.

"Den skadelige programvaren er svært avansert, og løser alle slags problemer fra et teknisk perspektiv og ofte på en veldig elegant måte, og kombinerer eldre og nyere komponenter i en grundig gjennomtenkt, langsiktig operasjon, noe du kan forvente av en topp karakter ressurs skuespiller."

Costin Raiu, Kasperskys direktør for global forskning, har gått rekorden for å rose oppfinnsomheten i Slingshot nyttelasten. I en uttalelse kommenterte han at han "aldri har sett denne angrepsvektoren før, først hacket ruteren og deretter gått for sysadmin."

Til tross for at det er vanlig, er Raiu vanskelig å avdekke sysadminer. Han sier at nyttelastene til sysadmin er en ekstremt ettertraktet angrepsvektor fordi den gir hackere "nøklene til riket." I følge forskeren oppnår Slingshot dette ved å bruke en "helt ny strategi."

Slingshot Mystery

Fortsatt et mysterium

Malware av slingshot-ruteren ble oppdaget ved en tilfeldighet. Kaspersky-forskere er fremdeles usikre på hvordan det blir levert til ofrenes rutere. Det som er kjent, er at den som kontrollerer Slingshot først og fremst har rettet nyttelasten til rutere produsert av det latviske firmaet MikroTik.

Selv om den eksakte angrepsvektoren forblir hylt av mystikk, klarte forskere å konstatere at angriperne bruker et MikroTik-konfigurasjonsverktøy kalt Winbox for å "laste ned dynamiske linkbibliotekfiler fra ruterenes filsystem." En spesiell fil, ipv4.dll, er lastet inn på sysadmin-maskinens minne fra ruteren før den kjøres. I sin rapport beskrev Kaspersky lasteren som "teknisk interessant."

Lasteren kommuniserer genialt tilbake til ruteren for å laste ned de farligere komponentene i nyttelasten (ruteren fungerer i utgangspunktet som hacker's Command and Control (CnC) server).

"Etter infeksjon, ville Slingshot laste inn et antall moduler på offerenheten, inkludert to store og kraftige moduler: Cahnadr, kjernemodulmodulen, og GollumApp, en modul for brukermodus. De to modulene er koblet sammen og kan støtte hverandre i informasjonsinnsamling, utholdenhet og datautfiltrering. "

Kaspersky Attack Vector

Avanserte stealth-mekanismer

Det kanskje mest imponerende med Slingshot er dens evne til å unngå deteksjon. Til tross for at han var i naturen siden 2012 - og fortsatt har vært i drift den siste måneden - har Slingshot til nå unngått oppdagelse. Dette er fordi det bruker et kryptert virtuelt filsystem målrettet gjemt i en ubrukt del av offerets harddisk.

I følge Kaspersky hjelper segregering av malware-filer fra filsystemet den til å forbli uoppdaget av antivirusprogrammer. Den skadelige programvaren brukte også kryptering - og skarpt designet avstengningstaktikk - for å hindre at kriminaltekniske verktøy oppdager tilstedeværelsen.

Statens sponset snooping

Slingshot ser ut til å ha vært ansatt i en nasjonalstat for å utføre spionasje. Malware er koblet til ofre i minst 11 land. Så langt har Kaspersky oppdaget infiserte datamaskiner i Kenya, Yemen, Afghanistan, Libya, Kongo, Jordan, Tyrkia, Irak, Sudan, Somalia og Tanzania.

Flertallet av disse målene ser ut til å ha vært individer. Kaspersky avdekket imidlertid bevis for at noen regjeringsorganisasjoner og institusjoner ble målrettet. Foreløpig er det ingen som er sikker på hvem som kontrollerer den sofistikerte nyttelasten. Foreløpig har Kaspersky ikke villet peke fingre. Forskerne oppdaget imidlertid feilsøkingsmeldinger i koden som ble skrevet på perfekt engelsk.

Kaspersky har sagt at den mener at raffinementet til Slingshot peker på en statsstøttet skuespiller. At det inneholder perfekt engelsk, kan implisere NSA, CIA eller GCHQ. Selvfølgelig er det mulig for statssponserte malware-utviklere å ramme opp hverandre ved å gjøre at utnyttelsen deres ser ut til å ha blitt opprettet andre steder:

"Noen av teknikkene som er brukt av Slingshot, for eksempel utnyttelse av legitime, men likevel sårbare sjåfører har blitt sett før i annen skadelig programvare, for eksempel White and Grey Lambert. Imidlertid er nøyaktig attribusjon alltid vanskelig, om ikke umulig å bestemme, og i økende grad utsatt for manipulasjon og feil."

Hva kan brukere av Mikrotik-rutere gjøre??

Mikrotik har blitt informert om sårbarheten av Kaspersky. Brukere av Mikrotik-rutere må oppdatere til den nyeste programvareversjonen så snart som mulig for å sikre beskyttelse mot Slingshot.

Tittelbilde: Yuttanas / Shutterstock.com

Bildekreditt: Hollygraphic / Shutterstock.com, skjermdump fra Kaspersky-rapporten.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

8 + 1 =

map