unningなSlingshotルーターマルウェアは最初のものです

ルーターからコンピューターをリモートでハッキングできるマルウェアが発見されました。このマルウェアは、カスペルスキーの研究者によって発見されたもので、Slingshot ATPと呼ばれています。 Slingshotマルウェアは、これまでに発見された最初のマルウェアです。ずる賢い設計により、そもそもシステム自体をインストールすることなく、システム管理者のマシンにアクセスすることができます。.


ステルスマルウェアは6年間流通しており、その間に少なくとも100台のコンピューターに感染していると考えられています。コードから復元されたテキストから名前を取得するマルウェアは、これまでに発見されたマルウェアの中で最も高度な形式の1つです。カスペルスキーの研究者によると、それは非常に高度であるため、国が支援する開発である可能性が高い.

非常に洗練された

25ページのレポート(pdf)でマルウェアを説明しているKasperskyは、スパイ行為のために国家のintelligence報機関によって悪用されている可能性が高い洗練されたツールであると説明しています。

"Slingshotの発見により、複数のコンポーネントが連携して動作する非常に柔軟で油性の高いサイバースパイプラットフォームを提供する別の複雑なエコシステムが明らかになりました.

"マルウェアは非常に高度であり、技術的な観点からあらゆる種類の問題を解決し、多くの場合非常にエレガントな方法で解決します。古いコンポーネントと新しいコンポーネントを徹底的に熟考された長期的な操作で組み合わせることで、資源俳優."

カスペルスキーのグローバルリサーチディレクターであるCostin Raiuは、Slingshotペイロードに含まれる創意工夫を称賛するために記録を更新しました。声明の中で、彼は「以前にこの攻撃ベクトルを見たことがない、最初にルーターをハックしてからシステム管理者に行った」とコメントしました。

Raiuによれば、一般的ではあるが、システム管理者をハッキングする試みは明らかにするのが難しい。研究者によると、Slingshotは「完全に新しい戦略」を使用してこれを達成しています。

スリングショットミステリー

まだ謎

Slingshotルーターマルウェアは偶然発見されました。カスペルスキーの研究者は、それが被害者のルーターにどのように配信されるのかまだ不明です。知られていることは、Slingshotを制御する人は誰でも、主にラトビアの会社MikroTikによって製造されたルーターのペイロードをターゲットにしているということです。.

正確な攻撃ベクトルは謎に包まれたままですが、研究者は、攻撃者がWinboxと呼ばれるMikroTik構成ユーティリティを使用して「ルーターのファイルシステムからダイナミックリンクライブラリファイルをダウンロードする」ことを確認できました。特定のファイルipv4.dllがロードされます実行前のルーターからのsysadminマシンのメモリ。そのレポートで、カスペルスキーはローダーを「技術的に興味深い」と説明しました。

ローダーは巧妙に通信してルーターと通信し、ペイロードのより危険なコンポーネントをダウンロードします(ルーターは基本的にハッカーのコマンドアンドコントロール(CnC)サーバーとして機能します).

「感染後、Slingshotは、2つの巨大で強力なモジュール(カーネルモードモジュールのCahnadrとユーザーモードモジュールのGollumAppを含む)を含む多数のモジュールを被害者のデバイスにロードします。 2つのモジュールは接続されており、情報の収集、永続化、データの流出において互いにサポートできます。」

カスペルスキー攻撃ベクトル

高度なステルスメカニズム

おそらく、Slingshotで最も印象的なことは、検出を回避できることです。 2012年以来野生であり、先月もまだ稼働中であるにもかかわらず、Slingshotはこれまで検出を回避してきました。これは、被害者のハードドライブの未使用部分に意図的に隠された暗号化された仮想ファイルシステムを使用するためです。.

Kasperskyによると、マルウェアファイルをファイルシステムから分離すると、ウイルス対策プログラムによって検出されないようになります。マルウェアは、暗号化を使用し、巧妙に設計されたシャットダウン戦術を使用して、フォレンジックツールがその存在を検出しないようにしました.

国家後援スヌーピング

スリングショットは、スパイ行為を行うために国民国家によって採用されたようです。このマルウェアは、少なくとも11か国で被害者にリンクされています。これまでのところ、カスペルスキーは、ケニア、イエメン、アフガニスタン、リビア、コンゴ、ヨルダン、トルコ、イラク、スーダン、ソマリア、タンザニアで感染したコンピューターを発見しました.

それらのターゲットの大部分は個人であったようです。しかし、カスペルスキーは、いくつかの政府組織や機関が標的にされているという証拠を明らかにしました。今のところ、誰が洗練されたペイロードを制御しているのか誰にもわかりません。当分の間、カスペルスキーは指を指すのを嫌がっています。しかし、研究者は完全な英語で書かれたコード内のデバッグメッセージを発見しました.

カスペルスキーは、スリングショットの洗練は国家が後援する俳優を指していると考えていると述べています。完全な英語が含まれているという事実は、NSA、CIA、またはGCHQに関係している可能性があります。もちろん、国が支援するマルウェア開発者は、エクスプロイトが他の場所で作成されたように見せかけることで、お互いを組み立てることができます。

"Slingshotで使用されている技術のうち、正当であるが脆弱なドライバーの悪用などは、WhiteやGrey Lambertなどの他のマルウェアでも見られています。ただし、正確な帰属は、判断することが不可能ではないにしても、常に困難であり、操作やエラーが発生しやすくなります."

Mikrotikルーターのユーザーができること?

MikrotikはKasperskyからこの脆弱性について知らされています。 Mikrotikルーターのユーザーは、Slingshotから確実に保護するために、できるだけ早く最新のソフトウェアバージョンに更新する必要があります.

タイトル画像クレジット:Yuttanas / Shutterstock.com

画像クレジット:Hollygraphic / Shutterstock.com、Kasperskyレポートのスクリーンショット.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me