Cunning Slingshot Router Malware هو الأول من نوعه

تم اكتشاف برامج ضارة يمكنها اختراق أجهزة الكمبيوتر عن بُعد من جهاز توجيه. اكتشف الباحثون في Kaspersky Lab البرامج الضارة ، ويطلق عليها Slingshot ATP. البرامج الضارة Slingshot هي الأولى من نوعها التي تم اكتشافها على الإطلاق. يسمح التصميم الماكرة له بالوصول إلى جهاز مسؤول النظام دون تثبيت نفسه بالفعل في المقام الأول.


ويعتقد أن البرمجيات الخبيثة الشبح قد تم تداولها لمدة 6 سنوات ، وأصابت ما لا يقل عن 100 جهاز كمبيوتر في ذلك الوقت. تعد البرامج الضارة ، التي تحصل على اسمها من النص المسترد من الكود الخاص بها ، أحد أكثر أشكال البرامج الضارة التي تم اكتشافها على الإطلاق. وفقًا لباحثين من كاسبرسكي ، إنه متقدم جدًا لدرجة أنه كان على الأرجح تطورًا ترعاه الدولة.

متطورة للغاية

في معرض وصفها للبرامج الضارة في تقريرها المكون من 25 صفحة (pdf) ، توضح Kaspersky أنه من المحتمل أن تكون أداة متطورة تستغلها وكالة استخبارات الدولة للتجسس:

"يكشف اكتشاف Slingshot عن نظام بيئي معقد آخر تعمل فيه مكونات متعددة سويًا لتوفير منصة تجسس إلكترونية مرنة للغاية ومزيتة جيدًا.

"البرامج الضارة متقدمة للغاية ، حيث تحل جميع أنواع المشكلات من منظور تقني وغالبًا بطريقة أنيقة للغاية ، تجمع بين المكونات القديمة والحديثة في عملية طويلة الأجل مدروسة تمامًا ، وهو أمر يمكن توقعه من أعلى مستوى. الممثل الموارد."

سجل Costin Raiu ، مدير الأبحاث العالمية في Kaspersky ، الإشادة بالإبداع المتضمن في حمولة Slingshot. في بيان ، علق أنه "لم يسبق له مثيل لهذا الهجوم من قبل ، اخترق الموجه أولاً ثم انتقل إلى مسؤول النظام".

وفقا ل Raiu ، على الرغم من كونها شائعة ، فإن محاولات اختراق مسؤولي النظام هي خادعة للكشف عنها. يقول إن حمولات مسؤول النظام sysadmin هي وسيلة موجهة للغاية بعد الهجوم لأنها تعطي المتسللين "مفاتيح للمملكة". وفقًا للباحث ، يحقق Slingshot ذلك باستخدام "استراتيجية جديدة تمامًا".

مقلاع الغموض

لا يزال لغزا

تم اكتشاف البرامج الضارة لجهاز التوجيه Slingshot عن طريق الصدفة. لا يزال باحثو كاسبرسكي غير متأكدين من كيفية توصيله إلى أجهزة توجيه الضحايا. ما هو معروف ، هو أن كل من يتحكم في Slingshot استهدف الحمولة في المقام الأول على أجهزة التوجيه التي تصنعها شركة Latroian MikroTik.

على الرغم من أن ناقل الهجوم الدقيق يظل محاطًا بالغموض ، فقد تمكن الباحثون من التأكد من أن المهاجمين يستخدمون أداة تهيئة MikroTik تسمى Winbox "لتنزيل ملفات مكتبة الارتباط الديناميكي من نظام ملفات جهاز التوجيه." ذاكرة الجهاز مسؤول النظام من جهاز التوجيه قبل تنفيذها. في تقريرها ، وصفت Kaspersky اللودر بأنه "ممتع تقنيًا".

يتصل الجرافة ببراعة مرة أخرى بجهاز التوجيه لتنزيل المكونات الأكثر خطورة في الحمولة الصافية (يعمل جهاز التوجيه في الأساس كخادم الأوامر والتحكم (CnC) للقراصنة).

"بعد الإصابة ، يقوم Slingshot بتحميل عدد من الوحدات على الجهاز الضحية ، بما في ذلك اثنتان كبيرتان وقويتان: Cahnadr ، الوحدة النمطية لوضع kernel ، و GollumApp ، وحدة نمطية لوضع المستخدم. ترتبط الوحدتان بالقدرة على دعم بعضهما البعض في جمع المعلومات ، والثبات ، وتسرب البيانات. "

ناقل هجوم Kaspersky

آليات الشبح المتقدمة

ربما يكون الشيء الأكثر إثارة للإعجاب حول Slingshot هو قدرته على تجنب الاكتشاف. على الرغم من كونه في البرية منذ عام 2012 - ولا يزال قيد التشغيل خلال الشهر الماضي - تجنب Slingshot حتى الآن الكشف. هذا لأنه يستخدم نظام ملفات ظاهرية مشفرة مخفيًا عن قصد في جزء غير مستخدم من القرص الصلب للضحية.

وفقًا لـ Kaspersky ، فإن فصل ملفات البرامج الضارة عن نظام الملفات يساعده على عدم الكشف عنها بواسطة برامج مكافحة الفيروسات. كما استخدمت البرمجيات الخبيثة التشفير - وصممت بتكتيكات إيقاف التشغيل - لمنع أدوات الطب الشرعي من اكتشاف وجودها.

الدولة برعاية التطفل

يبدو أن المقلاع قد تم توظيفه من قبل دولة قومية للقيام بالتجسس. تم ربط البرامج الضارة بالضحايا في 11 دولة على الأقل. اكتشفت كاسبرسكي حتى الآن أجهزة كمبيوتر مصابة في كينيا واليمن وأفغانستان وليبيا والكونغو والأردن وتركيا والعراق والسودان والصومال وتنزانيا..

يبدو أن غالبية تلك الأهداف كانوا أفرادًا. ومع ذلك ، كشفت Kaspersky عن أدلة على استهداف بعض المؤسسات والمؤسسات الحكومية. في الوقت الحالي ، لا أحد على يقين من يتحكم في الحمولة المتطورة. في الوقت الحالي ، كانت كاسبرسكي غير راغبة في توجيه أصابع الاتهام. ومع ذلك ، اكتشف الباحثون رسائل تصحيح الأخطاء ضمن الكود المكتوب بلغة إنجليزية كاملة.

قالت Kaspersky إنها تعتقد أن تطور Slingshot يشير إلى ممثل ترعاه الدولة. قد تتضمن حقيقة أنه يحتوي على اللغة الإنجليزية المثالية NSA أو CIA أو GCHQ. بالطبع ، يمكن لمطوري البرمجيات الخبيثة التي ترعاها الدولة وضع إطار لبعضهم البعض عن طريق جعل مآثرهم قد تم إنشاؤها في مكان آخر:

"بعض التقنيات المستخدمة من قبل Slingshot ، مثل استغلال برامج تشغيل مشروعة ومعرضة للخطر قد شوهدت من قبل في برامج ضارة أخرى ، مثل White and Gray Lambert. ومع ذلك ، فإن الإسناد الدقيق صعب دائمًا ، إن لم يكن من المستحيل تحديده ، وعرضة بشكل متزايد للتلاعب والخطأ."

ما الذي يمكن لمستخدمي أجهزة التوجيه Mikrotik القيام به?

تم إبلاغ Mikrotik حول مشكلة عدم حصانة Kaspersky. يجب على مستخدمي أجهزة توجيه Mikrotik التحديث إلى أحدث إصدار من البرنامج في أقرب وقت ممكن لضمان الحماية من Slingshot.

صورة الائتمان العنوان: Yuttanas / Shutterstock.com

أرصدة الصورة: Hollygraphic / Shutterstock.com ، لقطة شاشة من تقرير Kaspersky.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me