Email:











Ora : 10:15    Data : 12-03-2018 Domeniu: IT
Slingshot: spionul venit din router

Cercetătorii Kaspersky Lab au descoperit o amenințare complexă, folosită pentru spionaj cibernetic în Orientul Mijlociu și Africa, cel puțin din 2012, până în februarie 2018. Programul malware, pe care cercetătorii l-au denumit “Slingshot”, atacă și infectează victimele prin intermediul unor router-e compromise și poate funcționa în modul “kernel”, dând control total asupra dispozitivelor victimei.
Potrivit cercetătorilor, multe dintre tehnicile folosite de această grupare sunt unice și foarte eficiente în a aduna informații în secret, ascunzând traficul în pachete de date speciale, pe care le interceptează din comunicațiile de zi cu zi, fără a lăsa nicio urmă.

Operațiunea Slingshot a fost descoperită după ce cercetătorii au găsit un program de tip keylogger suspect și au creat o semnătură de detecție pe baza comportamentului, pentru a vedea dacă acel cod apărea în altă parte. Acest lucru a dus la o detecție pe un computer infectat cu un fișier suspect, în folder-ul de sistem denumit scesrv.dll.

Cercetătorii au decis să investigheze mai departe, iar analiza fișierului a arătat că, în ciuda faptului că părea legitim, modulul scesrv.dll conținea cod malware. Din moment ce acesta e încărcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectată câștiga aceleași drepturi. Cercetătorii și-au dat seama că un intrus profesionist reușise să ajungă la elementele esențiale ale computerului.

Slingshot iese în evidență prin vectorul său de atac neobișnuit. Pe măsură ce descopereau mai multe victime, cercetătorii au văzut că multe dintre ele păreau să fi fost infectate inițial prin intermediul unor router-e compromise. În timpul acestor atacuri, grupul din spatele Slingshot pare să compromită router-ele și să plaseze în interior un link dinamic către o arhivă, care descarcă mai multe componente periculoase.

Atunci când un administrator se loghează pentru a configura router-ul, programul de management al router-ului descarcă și rulează modulul malware pe computerul administratorului. Metoda folosită pentru a compromite inițial router-ele rămâne necunoscută.

După infectare, Slingshot încarcă un număr de module pe dispozitivul victimei, inclusiv două foarte puternice: Cahnadr și GollumApp. Cele două module sunt conectate și capabile să se ajute unul pe altul în colectarea de informații, persistență și sustragerea de date.

Scopul principal al Slingshot pare să fie spionajul cibernetic. Analiza sugerează că păstrează screenshots, date din tastatură, date de rețea, parole, conexiuni USB, date din clipboard și multe altele, chiar dacă accesul său prin kernel înseamnă că poate fura orice dorește.

Această amenințare complexă și persistentă încorporează, de asemenea, o serie de tehnici pentru evitarea detecției, inclusiv criptarea tuturor șirurilor de caractere în modulele sale, accesarea directă a serviciilor sistemului pentru a trece de tehnologiile de securitate, folosirea unor tehnici anti-debugging și selectarea procesului care urmează să fie infectat, în funcție de procesele soluțiilor de securitate instalate și active și de alți parametri.

Slingshot funcționează ca un backdoor pasiv: nu are o adresă de comandă și control (C&C) scrisă în hardcode, dar obține una de la operator interceptând toate pachetele de rețea în modul kernel și verificând dacă există două cuvinte cheie în header (două „constante magice”). Dacă acestea există, înseamnă că pachetul conține și adresa de C&C. Pentru pasul următor, Slingshot stabilește un canal criptat de comunicare cu C&C și începe să transmită date prin intermediul său.

Mostrele de malware investigate de cercetători au denumirea ”versiunea 6.x”, ceea ce ne sugerează că amenințarea există deja de ceva vreme. Perioada extinsă de dezvoltare, nivelul de complexitate și costurile aferente creării setului de instrumente Slingshot demonstrează amploarea și importanța acestui proiect. Grupul din spatele Slingshot pare să fie extrem de bine organizat, specializat și, probabil, sprijinit de către un stat. Indiciile textuale din cod sugerează că ar fi vorba de un grup vorbitor de limba engleză. Cu toate acestea, este dificil, dacă nu imposibil, să se determine cu exactitate identitatea grupului, fiind vorba de un proces de atribuire în care pot apărea manipulări și erori.

Până acum, cercetătorii au găsit aproximativ 100 de victime ale Slingshot și ale modulelor aferente în Kenya, Yemen, Afghanistan, Libia, Congo, Iordan, Turcia, Irak, Sudan, Somalia și Tanzania. Majoritatea victimelor par să fie utilizatori individuali și nu organizații, dar există și câteva organizații și instituții guvernamentale care au fost afectate. Până acum, cele mai multe victime au fost din Kenya și Yemen.

“Slingshot este o amenințare complexă care utilizează o paletă extinsă de instrumente și tehnici, inclusiv modul kernel, care până acum era identificat doar în cazul atacurilor avansate. Această funcție este extrem de valoroasă și profitabilă pentru atacatori, ceea ce ar putea explica faptul că amenințarea are deja 6 ani de activitate”, spune Alexey Shulmin, Lead Malware Analyst, Kaspersky Lab.

Toate produsele Kaspersky Lab detectează și blochează această amenințare. 

Autor: Cristian Pavel

Inapoi

Tel: 021/317.08.66

Info financiar:
Credite imobiliare
Credite nevoi personale
Credite auto
Depozite
Conso.ro


Cuvantul:





 


Copyright 2005, FinMedia SRL. Toate drepturile rezervate.