Slingshot: spionul care a venit din router

9 martie 2018 

Cercetatorii Kaspersky Lab au descoperit o amenintare complexa, folosita pentru spionaj cibernetic in Orientul Mijlociu si Africa, cel putin din 2012, pana in februarie 2018. Programul malware, pe care cercetatorii l-au denumit “Slingshot”, ataca si infecteaza victimele prin intermediul unor router-e compromise si poate functiona in modul “kernel”, dand control total asupra dispozitivelor victimei. Potrivit cercetatorilor, multe dintre tehnicile folosite de aceasta grupare sunt unice si foarte eficiente in a aduna informatii in secret, ascunzand traficul in pachete de date speciale, pe care le intercepteaza din comunicatiile de zi cu zi, fara a lasa nicio urma.

Operatiunea Slingshot a fost descoperita dupa ce cercetatorii au gasit un program de tip keylogger suspect si au creat o semnatura de detectie pe baza comportamentului, pentru a vedea daca acel cod aparea in alta parte. Acest lucru a dus la o detectie pe un computer infectat cu un fisier suspect, in folder-ul de sistem denumit scesrv.dll. Cercetatorii au decis sa investigheze mai departe, iar analiza fisierului a aratat ca, in ciuda faptului ca parea legitim, modulul scesrv.dll continea cod malware. Din moment ce acesta e incarcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectata castiga aceleasi drepturi. Cercetatorii si-au dat seama ca un intrus profesionist reusise sa ajunga la elementele esentiale ale computerului.

Slingshot iese in evidenta prin vectorul sau de atac neobisnuit. Pe masura ce descopereau mai multe victime, cercetatorii au vazut ca multe dintre ele pareau sa fi fost infectate initial prin intermediul unor router-e compromise. In timpul acestor atacuri, grupul din spatele Slingshot pare sa compromita router-ele si sa plaseze in interior un link dinamic catre o arhiva, care descarca mai multe componente periculoase. Atunci cand un administrator se logheaza pentru a configura router-ul, programul de management al router-ului descarca si ruleaza modulul malware pe computerul administratorului. Metoda folosita pentru a compromite initial router-ele ramane necunoscuta.

Dupa infectare, Slingshot incarca un numar de module pe dispozitivul victimei, inclusiv doua foarte puternice: Cahnadr si GollumApp. Cele doua module sunt conectate si capabile sa se ajute unul pe altul in colectarea de informatii, persistenta si sustragerea de date.

Scopul principal al Slingshot pare sa fie spionajul cibernetic. Analiza sugereaza ca pastreaza screenshots, date din tastatura, date de retea, parole, conexiuni USB, date din clipboard si multe altele, chiar daca accesul sau prin kernel inseamna ca poate fura orice doreste.

Aceasta amenintare complexa si persistenta incorporeaza, de asemenea, o serie de tehnici pentru evitarea detectiei, inclusiv criptarea tuturor sirurilor de caractere in modulele sale, accesarea directa a serviciilor sistemului pentru a trece de tehnologiile de securitate, folosirea unor tehnici anti-debugging si selectarea procesului care urmeaza sa fie infectat, in functie de procesele solutiilor de securitate instalate si active si de alti parametri.

Slingshot functioneaza ca un backdoor pasiv: nu are o adresa de comanda si control (C&C) scrisa in hardcode, dar obtine una de la operator interceptand toate pachetele de retea in modul kernel si verificand daca exista doua cuvinte cheie in header (doua „constante magice”). Daca acestea exista, inseamna ca pachetul contine si adresa de C&C. Pentru pasul urmator, Slingshot stabileste un canal criptat de comunicare cu C&C si incepe sa transmita date prin intermediul sau.

Mostrele de malware investigate de cercetatori au denumirea ‘versiunea 6.x’, ceea ce ne sugereaza ca amenintarea exista deja de ceva vreme. Perioada extinsa de dezvoltare, nivelul de complexitate si costurile aferente crearii setului de instrumente Slingshot demonstreaza amploarea si importanta acestui proiect. Grupul din spatele Slingshot pare sa fie extrem de bine organizat, specializat si, probabil, sprijinit de catre un stat. Indiciile textuale din cod sugereaza ca ar fi vorba de un grup vorbitor de limba engleza. Cu toate acestea, este dificil, daca nu imposibil, sa se determine cu exactitate identitatea grupului, fiind vorba de un proces de atribuire in care pot aparea manipulari si erori.

Pana acum, cercetatorii au gasit aproximativ 100 de victime ale Slingshot si ale modulelor aferente in Kenya, Yemen, Afghanistan, Libia, Congo, Iordan, Turcia, Irak, Sudan, Somalia si Tanzania. Majoritatea victimelor par sa fie utilizatori individuali si nu organizatii, dar exista si cateva organizatii si institutii guvernamentale care au fost afectate. Pana acum, cele mai multe victime au fost din Kenya si Yemen.

“Slingshot este o amenintare complexa care utilizeaza o paleta extinsa de instrumente si tehnici, inclusiv modul kernel, care pana acum era identificat doar in cazul atacurilor avansate. Aceasta functie este extrem de valoroasa si profitabila pentru atacatori, ceea ce ar putea explica faptul ca amenintarea are deja 6 ani de activitate”, spune Alexey Shulmin, Lead Malware Analyst, Kaspersky Lab.

Toate produsele Kaspersky Lab detecteaza si blocheaza aceasta amenintare.

Pentru a nu cadea prada unui astfel de atac, specialistii de la Kaspersky Lab recomanda implementarea urmatoarelor masuri:

  • Utilizatorii router-elor Mikrotik ar trebui sa instaleze ultima versiune a software-ului cat de curand posibil pentru a asigura protectia impotriva vulnerabilitatilor deja cunoscute. In plus, Mikrotik Winbox nu mai descarca nimic din router in computerul utilizatorului.
  • Folositi o solutie de securitate de calibru corporate, impreuna cu tehnologii anti atacuri directionate si servicii de informatii despre amenintari, cum ar fi solutia Kaspersky Threat Management and Defense. Acestea pot identifica si bloca atacurile avansate cu tinta precisa prin analizarea anomaliilor la nivel de retea si oferind echipelor de securitate cibernetica vizibilitate totala asupra retelei si automatizarea raspunsurilor.
  • Oferiti personalului de securitate IT acces la cele mai noi informatii despre amenintarile cibernetice, care le vor furniza instrumente utile pentru prevenirea si analiza atacurilor directionate. Astfel de instrumente sunt indicatorii de compromitere (IOC), regulile YARA si rapoartele privind amenintarile complexe.
  • Daca identificati simptome timpurii ale unui atac directionat, va sfatuim sa luati in considerare serviciile de gestionare a securitatii care ca vor permite sa detectati din timp semnele amenintarilor avansate, sa reduceti perioadele de inactivitate si sa raspundeti in timp util la incidentele de securitate.

Puteti gasi un raport complex privind Slingshot pe Securelist.com.

Despre Kaspersky Lab

Kaspersky Lab este o companie globala din domeniul securitatii cibernetice, prezenta pe piata de peste 20 de ani. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky Lab se materializeaza in mod constant in solutii de securitate si servicii de ultima generatie pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky Lab, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.

Leave a Reply

Your email address will not be published. Required fields are marked *