0724.236.133 / 0725.541.835 Str. CPT. CONSTANTIN MERIŞESCU Nr.39D, SECTOR 2 BUCURESTI

Slingshot: spionul care a venit din router

Oct
23
2018

Cercetatorii Kaspersky Lab au descoperit o amenintare complexa, folosita pentru spionaj cibernetic in Orientul Mijlociu si Africa, cel putin din 2012, pana in 2018. Programul malware, pe care cercetatorii l-au denumit “Slingshot”, ataca si infecteaza victimele prin intermediul unor router-e compromise si poate functiona in modul “kernel”, dand control total asupra dispozitivelor victimei. Potrivit cercetatorilor, multe dintre tehnicile folosite de aceasta grupare sunt unice si foarte eficiente in a aduna informatii in secret, ascunzand traficul in pachete de date speciale, pe care le intercepteaza din comunicatiile de zi cu zi, fara a lasa nicio urma.

Operatiunea Slingshot a fost descoperita dupa ce, cercetatorii au gasit un program de tip keylogger suspect si au creat o semnatura de detectie pe baza comportamentului, pentru a vedea daca acel cod aparea in alta parte. Acest lucru a dus la o detectie pe un computer infectat cu un fisier suspect, in folder-ul de sistem denumit scesrv.dll. Cercetatorii au decis sa investigheze mai departe, iar analiza fisierului a aratat ca, in ciuda faptului ca parea legitim, modulul scesrv.dll continea cod malware. Din moment ce acesta e incarcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectata castiga aceleasi drepturi. Cercetatorii si-au dat seama ca un intrus profesionist reusise sa ajunga la elementele esentiale ale computerului.

Slingshot iese in evidenta prin vectorul sau de atac neobisnuit. Pe masura ce descopereau mai multe victime, cercetatorii au vazut ca multe dintre ele pareau sa fi fost infectate initial prin intermediul unor router-e compromise. In timpul acestor atacuri, grupul din spatele Slingshot pare sa compromita router-ele si sa plaseze in interior un link dinamic catre o arhiva, care descarca mai multe componente periculoase. Atunci cand un administrator se logheaza pentru a configura router-ul, programul de management al router-ului descarca si ruleaza modulul malware pe computerul administratorului. Metoda folosita pentru a compromite initial router-ele ramane necunoscuta.

 

Dupa infectare, Slingshot incarca un numar de module pe dispozitivul victimei, inclusiv doua foarte puternice: Cahnadr si GollumApp. Cele doua module sunt conectate si capabile sa se ajute unul pe altul in colectarea de informatii, persistenta si sustragerea de date.

Scopul principal al Slingshot pare sa fie spionajul cibernetic. Analiza sugereaza ca pastreaza screenshots, date din tastatura, date de retea, parole, conexiuni USB, date din clipboard si multe altele, chiar daca accesul sau prin kernel inseamna ca poate fura orice doreste.

Aceasta amenintare complexa si persistenta incorporeaza, de asemenea, o serie de tehnici pentru evitarea detectiei, inclusiv criptarea tuturor sirurilor de caractere in modulele sale, accesarea directa a serviciilor sistemului pentru a trece de tehnologiile de securitate, folosirea unor tehnici anti-debugging si selectarea procesului care urmeaza sa fie infectat, in functie de procesele solutiilor de securitate instalate si active si de alti parametri.

Slingshot functioneaza ca un backdoor pasiv: nu are o adresa de comanda si control (C&C) scrisa in hardcode, dar obtine una de la operator interceptand toate pachetele de retea in modul kernel si verificand daca exista doua cuvinte cheie in header (doua „constante magice”). Daca acestea exista, inseamna ca pachetul contine si adresa de C&C. Pentru pasul urmator, Slingshot stabileste un canal criptat de comunicare cu C&C si incepe sa transmita date prin intermediul sau.

Mostrele de malware investigate de cercetatori au denumirea ‘versiunea 6.x’, ceea ce ne sugereaza ca amenintarea exista deja de ceva vreme. Perioada extinsa de dezvoltare, nivelul de complexitate si costurile aferente crearii setului de instrumente Slingshot demonstreaza amploarea si importanta acestui proiect. Grupul din spatele Slingshot pare sa fie extrem de bine organizat, specializat si, probabil, sprijinit de catre un stat. Indiciile textuale din cod sugereaza ca ar fi vorba de un grup vorbitor de limba engleza. Cu toate acestea, este dificil, daca nu imposibil, sa se determine cu exactitate identitatea grupului, fiind vorba de un proces de atribuire in care pot aparea manipulari si erori.

Pana acum, cercetatorii au gasit aproximativ 100 de victime ale Slingshot si ale modulelor aferente in Kenya, Yemen, Afghanistan, Libia, Congo, Iordan, Turcia, Irak, Sudan, Somalia si Tanzania. Majoritatea victimelor par sa fie utilizatori individuali si nu organizatii, dar exista si cateva organizatii si institutii guvernamentale care au fost afectate. Pana acum, cele mai multe victime au fost din Kenya si Yemen.

“Slingshot este o amenintare complexa care utilizeaza o paleta extinsa de instrumente si tehnici, inclusiv modul kernel, care pana acum era identificat doar in cazul atacurilor avansate. Aceasta functie este extrem de valoroasa si profitabila pentru atacatori, ceea ce ar putea explica faptul ca amenintarea are deja 6 ani de activitate”, spune Alexey Shulmin, Lead Malware Analyst, Kaspersky Lab.

Toate produsele Kaspersky Lab detecteaza si blocheaza aceasta amenintare.

 

 

Kaspersky Lab este cea mai buna solutie de securitate informatica, la nivel mondial. Alegeti solutiile de top Kaspersky  pe care NET-Conect Technologies vi le poate pune la dispozitie.

 

© Net-Conect.ro