Slingshot, un program malware care spionează și se răspândește prin routere infectate
Cercetătorii Kaspersky Lab au descoperit Slingshot, un program malware care spionează și se răspândește prin routere infectate.
Cercetătorii Kaspersky Lab au descoperit o amenințare complexă, folosită pentru spionaj cibernetic în Orientul Mijlociu și Africa, cel puțin din 2012, până în februarie 2018, scrie start-up.ro.
Programul malware, pe care cercetătorii l-au denumit “Slingshot”, atacă și infectează victimele prin intermediul unor router-e compromise și poate funcționa în modul “kernel”, dând control total asupra dispozitivelor victimei. Potrivit cercetătorilor, multe dintre tehnicile folosite de această grupare sunt unice și foarte eficiente în a aduna informații în secret, ascunzând traficul în pachete de date speciale, pe care le interceptează din comunicațiile de zi cu zi, fără a lăsa nicio urmă. Operațiunea Slingshot a fost descoperită după ce cercetătorii au găsit un program de tip keylogger suspect și au creat o semnătură de detecție pe baza comportamentului, pentru a vedea dacă acel cod apărea în altă parte. Acest lucru a dus la o detecție pe un computer infectat cu un fișier suspect, în folder-ul de sistem denumit scesrv.dll. Cercetătorii au decis să investigheze mai departe, iar analiza fișierului a arătat că, în ciuda faptului că părea legitim, modulul scesrv.dll conținea cod malware. Din moment ce acesta e încărcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectată câștiga aceleași drepturi. Cercetătorii și-au dat seama că un intrus profesionist reușise să ajungă la elementele esențiale ale computerului.
După infectare, Slingshot încarcă un număr de module pe dispozitivul victimei, inclusiv două foarte puternice: Cahnadr și GollumApp. Cele două module sunt conectate și capabile să se ajute unul pe altul în colectarea de informații, persistență și sustragerea de date, scrie agora.ro.
Scopul principal al Slingshot pare să fie spionajul cibernetic. Analiza sugerează că păstrează screenshots, date din tastatură, date de rețea, parole, conexiuni USB, date din clipboard și multe altele, chiar dacă accesul său prin kernel înseamnă că poate fura orice dorește.
Această amenințare complexă și persistentă încorporează, de asemenea, o serie de tehnici pentru evitarea detecției, inclusiv criptarea tuturor șirurilor de caractere în modulele sale, accesarea directă a serviciilor sistemului pentru a trece de tehnologiile de securitate, folosirea unor tehnici anti-debugging și selectarea procesului care urmează să fie infectat, în funcție de procesele soluțiilor de securitate instalate și active și de alți parametri.
Până acum, cercetătorii au găsit aproximativ 100 de victime ale Slingshot și ale modulelor aferente în Kenya, Yemen, Afghanistan, Libia, Congo, Iordan, Turcia, Irak, Sudan, Somalia și Tanzania. Majoritatea victimelor par să fie utilizatori individuali și nu organizații, dar există și câteva organizații și instituții guvernamentale care au fost afectate. Până acum, cele mai multe victime au fost din Kenya și Yemen, scrie bursa.ro.
Pentru a nu cădea pradă unui astfel de atac, specialiştii de la Kaspersky Lab recomandă implementarea următoarelor măsuri:
– Utilizatorii router-elor Mikrotik ar trebui să instaleze ultima versiune a software-ului cât de curând posibil pentru a asigura protecţia împotriva vulnerabilităţilor deja cunoscute. În plus, Mikrotik Winbox nu mai descarcă nimic din router în computerul utilizatorului.
– Folosiţi o soluţie de securitate de calibru corporate, împreună cu tehnologii anti atacuri direcţionate şi servicii de informaţii despre ameninţări, cum ar fi soluţia Kaspersky Threat Management and Defense. Acestea pot identifica şi bloca atacurile avansate cu ţintă precisă prin analizarea anomaliilor la nivel de reţea şi oferind echipelor de securitate cibernetică vizibilitate totală asupra reţelei şi automatizarea răspunsurilor.
– Oferiţi personalului de securitate IT acces la cele mai noi informaţii despre ameninţările cibernetice, care le vor furniza instrumente utile pentru prevenirea şi analiza atacurilor direcţionate. Astfel de instrumente sunt indicatorii de compromitere (IOC), regulile YARA şi rapoartele privind ameninţările complexe.
– Dacă identificaţi simptome timpurii ale unui atac direcţionat, vă sfătuim să luaţi în considerare serviciile de gestionare a securităţii care că vor permite să detectaţi din timp semnele ameninţărilor avansate, să reduceţi perioadele de inactivitate şi să răspundeţi în timp util la incidentele de securitate.
