A A A

Slingshot - cyberszpieg prosto z routera

12 marca 2018, 11:00
Badacze z Kaspersky Lab odkryli wyrafinowane zagrożenie wykorzystywane do cyberszpiegostwa na Bliskim Wschodzie i w Afryce od co najmniej 2012 r. do lutego 2018 r. Szkodnik, któremu badacze nadali nazwę „Slingshot”, atakuje ofiary za pośrednictwem zainfekowanych routerów i może działać w trybie jądra, co zapewnia mu pełną kontrolę nad urządzeniami.
Slingshot - cyberszpieg prosto z routera

Operacja Slingshot została wykryta po tym, jak badacze znaleźli podejrzany program przechwytujący znaki wprowadzane z klawiatury (tzw. keylogger) i stworzyli sygnaturę wykrywania na podstawie zachowania, aby sprawdzić, czy kod ten pojawił się gdzieś indziej. Sygnatura wygenerowała wykrycie na komputerze z podejrzanym plikiem wewnątrz foldera systemowego o nazwie scesrv.dll. Z analizy pliku wynika, że chociaż wygląda on na legalny moduł scesrv.dll, wewnątrz kryje osadzony szkodliwy kod. Ponieważ biblioteka ta jest ładowana przez proces, który posiada przywileje systemowe (services.exe) - zatruta biblioteka uzyskuje te same uprawnienia.

Najbardziej niezwykłym aspektem dotyczącym ataku Slingshot jest prawdopodobnie jego nietypowy wektor ataków. Po zidentyfikowaniu kolejnych ofiar badacze odkryli, że wiele z nich zostało zainfekowanych za pośrednictwem zhakowanych routerów. Podczas tych ataków ugrupowanie odpowiedzialne za Slingshot prawdopodobnie włamało się do tych urządzeń sieciowych i umieściło wewnątrz szkodliwą bibliotekę, która stanowi w rzeczywistości narzędzie pobierające inne szkodliwe komponenty. Metoda wykorzystana do włamywania się do routerów pozostaje nieznana.

Po zainfekowaniu Slingshot ładuje wiele modułów na urządzeniu ofiary, w tym dwa duże i złożone: Cahnadr oraz GollumApp. Te dwa moduły są połączone ze sobą i mogą wspomagać się w zakresie gromadzenia danych, utrzymania swojej obecności oraz wyprowadzania informacji.

Głównym celem kampanii Slingshot wydaje się być cyberszpiegostwo. Z analizy wynika, że w ramach operacji gromadzone są zrzuty ekranu, dane wprowadzane z klawiatury, dane sieciowe, hasła, połączenia USB, dane ze schowka itd. Mając dostęp do systemu z uprawnieniami administratora, atakujący mogą ukraść wszystko, czego potrzebują.

W ramach kampanii Slingshot zastosowano również wiele technik, które pomagały atakującym uniknąć wykrycia: w tym szyfrowanie wszystkich ciągów we własnych modułach, bezpośrednie wywoływanie usług systemowych w celu obejścia produktów bezpieczeństwa, wykorzystywanie różnych technik uniemożliwiających debugowanie czy wybór procesu do wstrzyknięcia w zależności od zainstalowanych i uruchomionych procesów rozwiązań bezpieczeństwa.

Slingshot działa jak pasywny backdoor: nie posiada zakodowanego na stałe adresu serwera kontroli, ale uzyskuje go od operatora poprzez przechwytywanie wszystkich pakietów sieciowych w trybie jądra i sprawdzanie, czy w nagłówku znajdują się dwie „magiczne" informacje. Jeśli tak, oznacza to, że pakiet zawiera adres serwera cyberprzestępczego. Następnie Slingshot ustanawia szyfrowany kanał komunikacji z centrum kontroli i zaczyna przesyłać dane.

Zbadane przez ekspertów szkodliwe próbki były oznaczone jako „wersja 6.x", co może sugerować, że zagrożenie istnieje dość długo. Czas poświęcony na stworzenie złożonego zestawu narzędzi Slingshot, jak również niezbędne umiejętności i koszty, były prawdopodobnie znaczące. To wszystko sugeruje, że stojące za Slingshot ugrupowanie jest prawdopodobnie wysoce zorganizowane i profesjonalne i najprawdopodobniej sponsorowane przez rząd. Wskazówki tekstowe w kodzie sugerują, że jego autorami są osoby angielskojęzyczne. Jednakże dokładne przypisanie autorstwa jest zawsze trudne, jeśli nie niemożliwe, i coraz bardziej podatne na manipulację oraz błędy.

Jak dotąd badacze zidentyfikowali około 100 ofiar kampanii Slingshot i związanych z nią modułów, zlokalizowanych w Kenii, Jemenie, Afganistanie, Libii, Kongo, Jordanii, Turcji, Iraku, Sudanie, Somalii oraz Tanzanii. Większość ofiar to osoby fizyczne. Można jednak wyróżnić kilka organizacji rządowych oraz instytucji. Większość zidentyfikowanych dotychczas ofiar znajduje się w Kenia oraz Jemenie.


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Tagi:
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nie zapomnij o haśle!
21 czerwca 2022
Choć mogą się wydawać mało nowoczesne, hasła to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale także...


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto