SLINGSHOT – CYBER SZPIEG
2018.04.08
W marcu badacze z Kaspersky Lab opublikowali raport na temat odkrytego przez nich malware, nazwanego Slingshot.
Slingshot (czyli Proca), według Kaspersky, był używany do szpiegowania w krajach Afryki i Bliskiego Wschodu. A jego zaawansowanie wskazuje, że został starannie zaprojektowany.
Działa od sześciu lat!
Przy okazji analizy pewnego podejrzanego keyloggera, badacze natrafili na ślady złośliwego programu, który zaliczyli do zagrożeń APT (Advanced Persistent Threats – zaawansowanych trwałych zagrożeń). Swoje odkrycie przedstawili w raporcie.
Nowe, złośliwe oprogramowanie najwyraźniej było używane do szpiegowania ofiar na Bliskim Wschodzie i w Afryce. Przez sześć lat pozostało niewykryte. Kaspersky twierdzi, że APT był aktywny już w 2012 roku i był nadal aktywny w lutym tego roku.
Jak dotąd, zidentyfikowano co najmniej 100 ofiar, głównie z Kenii i Jemenu, ale także z Afganistanu, Turcji, Iraku czy Zjednoczonych Emiratów Arabskich. Lista krajów – ofiar w dużej mierze pokrywa się z listą krajów podejrzewanych o związki z terroryzmem.
APT z wyższej półki
Slingshot jest tak wyrafinowany, że Kaspersky zaliczył ją do grupy zaawansowanych trwałych zagrożeń (APT).
„Slingshot jest bardzo złożony, a jego twórcy wyraźnie poświęcili dużo czasu i pieniędzy na jego stworzenie. Jego wektor infekcji jest niezwykły – i, według naszej najlepszej wiedzy, unikalny.”
Slingshot może uzyskać kontrolę nad komputerami na poziomie jądra, dając pełną kontrolę nad urządzeniem ofiary. Czyni to, ładując wrażliwe sterowniki do komputera i uruchamiając własny kod przez luki w zabezpieczeniach routerów, twierdzą naukowcy z Kaspersky Lab.
W niektórych przypadkach, atakujący uzyskał dostęp do szkodliwego oprogramowania i wdrożył je za pośrednictwem routerów wyprodukowanych przez firmę MikroTik. Ofiary bezwiednie pobierają z routera bibliotekę dołączaną dynamicznie (DLL). Następnie biblioteka DLL kontynuuje pobieranie innych złośliwych składników.
Kaspersky przekazał informację producentowi routerów i w tej chwili są one już odpowiednio zabezpieczone.
Szpieg doskonały?
Posiadanie dostępu do jądra oznacza, że Slingshot może zbierać dowolne informacje. Analizy Kaspersky Lab pokazują, że złośliwe oprogramowanie jest skonfigurowane do zbierania szerokiego zakresu danych z komputerów ofiar, w tym zrzutu ekranu, naciśnięć klawiszy, informacji sieciowych, haseł użytkownika, połączenia USB i informacji ze schowka.
Program jest również doskonale zamaskowany. Umiejętnie omija wszystkie zabezpieczenia, szyfruje własne moduły, kontroluje proces zamykania systemu, tak aby jego wszystkie procesy zostały zakończone.
„Szkodliwe oprogramowanie jest bardzo zaawansowane, rozwiązuje wszelkiego rodzaju problemy z technicznego punktu widzenia i często w bardzo elegancki sposób, łącząc starsze i nowsze komponenty w dokładnie przemyślanej, długotrwałej operacji, czego można oczekiwać od najwyższej klasy -resourced actor „- piszą badacze. „Wszystkie te ramy zostały zaprojektowane pod kątem elastyczności, niezawodności i uniknięcia wykrycia, co tłumaczy, dlaczego tych składników nie znaleziono od ponad sześciu lat.”
Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas