Το κακόβουλο λογισμικό κακόβουλου δρομολογητή Slingshot είναι το πρώτο του είδους

Το κακόβουλο λογισμικό έχει ανακαλυφθεί ότι μπορεί να χάσει τους υπολογιστές από απόσταση από έναν δρομολογητή. Το κακόβουλο λογισμικό εντοπίστηκε από ερευνητές στο Kaspersky Lab, ονομάζεται Slingshot ATP. Το κακόβουλο λογισμικό Slingshot είναι το πρώτο του είδους που έχει ανακαλυφθεί ποτέ. Το πονηρό σχεδιασμό του επιτρέπει να αποκτήσει πρόσβαση στο μηχάνημα του sysadmin χωρίς να εγκατασταθεί εκεί στην πρώτη θέση.


Το κακόβουλο λογισμικό μυστικότητας πιστεύεται ότι κυκλοφορούσε επί 6 χρόνια, μολύνοντας τουλάχιστον 100 υπολογιστές εκείνη την εποχή. Το κακόβουλο λογισμικό, το οποίο παίρνει το όνομά του από κείμενο που ανακτάται από τον κώδικα του, είναι μια από τις πιο προηγμένες μορφές κακόβουλου λογισμικού που ανακαλύφθηκε ποτέ. Σύμφωνα με τους ερευνητές του Kaspersky, είναι τόσο προχωρημένο ότι είναι πιθανό μια εξέλιξη που χρηματοδοτείται από το κράτος.

Εξαιρετικά εξελιγμένο

Περιγράφοντας το κακόβουλο λογισμικό στην έκθεση των 25 σελίδων (pdf), ο Kaspersky εξηγεί ότι είναι πιθανό να χρησιμοποιηθεί ένα εξελιγμένο εργαλείο από το πρακτορείο πληροφοριών μιας χώρας για κατασκοπεία:

"Η ανακάλυψη της Slingshot αποκαλύπτει ένα άλλο πολύπλοκο οικοσύστημα όπου πολλά συστατικά συνεργάζονται για να παρέχουν μια πολύ ευέλικτη και καλά λιπαρή πλατφόρμα ηλεκτρονικής κατασκοπείας.

"Το κακόβουλο λογισμικό είναι πολύ προηγμένο, επιλύει όλα τα προβλήματα από τεχνική άποψη και συχνά με έναν πολύ κομψό τρόπο, συνδυάζοντας παλαιότερα και νεότερα στοιχεία σε μια διεξοδικά σχεδιασμένη, μακροχρόνια λειτουργία, κάτι που αναμένεται από ένα κορυφαίο, εφοδιασμένο ηθοποιό."

Ο Costin Raiu, διευθυντής της παγκόσμιας έρευνας του Kaspersky, έχει ξεκινήσει την προσπάθεια να επαινέσει την εφευρετικότητα που περιέχεται στο ωφέλιμο φορτίο Slingshot. Σε μια δήλωση, σχολίασε ότι "δεν είχε δει ποτέ αυτό το φορέα επίθεσης πριν, χτυπήσει πρώτα τον δρομολογητή και στη συνέχεια πήγε για sysadmin."

Σύμφωνα με τον Raiu, παρόλο που είναι συνηθισμένες, οι προσπάθειες για την αποτροπή των sysadmins είναι δύσκολο να αποκαλυφθούν. Λέει ότι τα ωφέλιμα φορτία sysadmin είναι ένας εξαιρετικά αναζητημένος διάνυσμα επίθεσης επειδή δίνει στους χάκερς "τα κλειδιά για το βασίλειο". Σύμφωνα με τον ερευνητή, το Slingshot επιτυγχάνει αυτό χρησιμοποιώντας μια "εντελώς νέα στρατηγική".

Mystery σφεντόνα

Ακόμα ένα μυστήριο

Το κακόβουλο λογισμικό του Slingshot ανακαλύφθηκε τυχαία. Οι ερευνητές του Kaspersky εξακολουθούν να είναι σίγουροι για το πώς θα παραδοθούν στους δρομολογητές των θυμάτων. Αυτό που είναι γνωστό είναι ότι όποιος ελέγχει το Slingshot έχει στοχεύσει κυρίως στο ωφέλιμο φορτίο στους δρομολογητές που κατασκευάζει η λετονική εταιρεία MikroTik.

Αν και ο ακριβής φορέας επίθεσης εξακολουθεί να περιβάλλεται από μυστήριο, οι ερευνητές μπόρεσαν να διαπιστώσουν ότι οι επιτιθέμενοι χρησιμοποιούν ένα βοηθητικό πρόγραμμα MikroTik config που ονομάζεται Winbox για να "κατεβάσετε αρχεία βιβλιοθήκης δυναμικής σύνδεσης από το σύστημα αρχείων του δρομολογητή." Ένα συγκεκριμένο αρχείο, ipv4.dll, φορτώνεται τη μνήμη του μηχανήματος sysadmin από το δρομολογητή πριν εκτελεστεί. Στην έκθεσή του, ο Kaspersky περιέγραψε τον φορτωτή ως "τεχνικά ενδιαφέρον".

Ο φορτωτής επικοινωνεί έξυπνα πίσω στο δρομολογητή για να μεταφορτώσει τα πιο επικίνδυνα στοιχεία του ωφέλιμου φορτίου (ο δρομολογητής λειτουργεί ως διακομιστής εντολών και ελέγχου (hacker's Command and Control (CnC)),.

"Μετά τη μόλυνση, το Slingshot θα φορτώσει μια σειρά από δομοστοιχεία στη συσκευή θύματος, συμπεριλαμβανομένων δύο τεράστιων και ισχυρών: Cahnadr, του modul kernel-mode και του GollumApp, μιας λειτουργικής μονάδας χρήστη. Οι δύο ενότητες συνδέονται και μπορούν να υποστηρίζονται ο ένας στον άλλον στη συλλογή πληροφοριών, την επιμονή και την εξάτμιση δεδομένων. "

Kaspersky Attack Vector

Προηγμένοι Μηχανισμοί Stealth

Ίσως το πιο εντυπωσιακό πράγμα για το Slingshot είναι η ικανότητά του να αποφύγει την ανίχνευση. Παρά το γεγονός ότι βρίσκεται στο φυσικό περιβάλλον από το 2012 και εξακολουθεί να λειτουργεί τον τελευταίο μήνα, το Slingshot απέφυγε μέχρι τώρα να εντοπιστεί. Αυτό συμβαίνει επειδή χρησιμοποιεί ένα κρυπτογραφημένο εικονικό σύστημα αρχείων σκοτεινά κρυμμένο σε ένα αχρησιμοποίητο τμήμα του σκληρού δίσκου του θύματος.

Σύμφωνα με την Kaspersky, ο διαχωρισμός των αρχείων κακόβουλου λογισμικού από το σύστημα αρχείων βοηθάει να παραμείνει ανιχνευμένος από προγράμματα προστασίας από ιούς. Το κακόβουλο λογισμικό χρησιμοποίησε επίσης κρυπτογράφηση - και έξυπνα σχεδιασμένη τακτική λήξης - για να σταματήσει τα εγκληματολογικά εργαλεία από την ανίχνευση της παρουσίας.

Κρατική χορηγία Snooping

Το Slingshot φαίνεται να έχει χρησιμοποιηθεί από ένα έθνος-κράτος για να εκτελέσει κατασκοπεία. Το κακόβουλο λογισμικό έχει συνδεθεί με θύματα σε τουλάχιστον 11 χώρες. Μέχρι στιγμής, ο Kaspersky ανακάλυψε μολυσμένους υπολογιστές στην Κένυα, την Υεμένη, το Αφγανιστάν, τη Λιβύη, το Κονγκό, την Ιορδανία, την Τουρκία, το Ιράκ, το Σουδάν, τη Σομαλία και την Τανζανία.

Οι περισσότεροι από αυτούς τους στόχους φαίνονται να είναι άτομα. Εντούτοις, η Kaspersky αποκάλυψε στοιχεία ορισμένων κυβερνητικών οργανώσεων και ιδρυμάτων που στοχεύουν. Προς το παρόν, κανείς δεν είναι σίγουρος ποιος ελέγχει το εξελιγμένο ωφέλιμο φορτίο. Προς το παρόν, η Kaspersky δεν είναι πρόθυμη να δείξει τα δάχτυλά της. Ωστόσο, οι ερευνητές ανακάλυψαν μηνύματα εντοπισμού σφαλμάτων μέσα στον κώδικα που γράφτηκαν σε τέλεια αγγλικά.

Η Kaspersky είπε ότι πιστεύει ότι η πολυπλοκότητα του Slingshot υποδεικνύει έναν κρατικό φορέα. Το γεγονός ότι περιέχει τέλεια αγγλικά μπορεί να εμπλέκει την NSA, τη CIA ή την GCHQ. Φυσικά, είναι δυνατόν οι προγραμματιστές κακόβουλου λογισμικού που υποστηρίζονται από το κράτος να μπορούν να πλαισιώνουν το ένα το άλλο κάνοντας τα κατορθώματά τους να φαίνεται ότι έχουν δημιουργηθεί αλλού:

"Ορισμένες από τις τεχνικές που χρησιμοποίησε το Slingshot, όπως η εκμετάλλευση νόμιμων αλλά και ευάλωτων οδηγών, έχουν παρατηρηθεί στο παρελθόν σε άλλα κακόβουλα προγράμματα, όπως το White and Gray Lambert. Ωστόσο, η ακριβής απόδοση είναι πάντα σκληρή, αν όχι αδύνατη να προσδιοριστεί και όλο και πιο επιρρεπής σε χειραγώγηση και σφάλμα."

Τι μπορούν να κάνουν οι χρήστες των δρομολογητών Mikrotik?

Ο Mikrotik έχει ενημερωθεί για την ευπάθεια από την Kaspersky. Οι χρήστες των δρομολογητών Mikrotik πρέπει να ενημερώσουν το ταχύτερο δυνατόν για την πιο πρόσφατη έκδοση του λογισμικού για να εξασφαλίσουν προστασία από την Slingshot.

Πιστωτική εικόνα τίτλου: Yuttanas / Shutterstock.com

Πιστοποιήσεις εικόνας: Hollygraphic / Shutterstock.com, στιγμιότυπο οθόνης από την έκθεση Kaspersky.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

60 + = 65

map