Kenya és Tanzánia a Slingshot által célzott országok között; egy erős malware, amely 6 évig rejtett és útválasztón keresztül terjedt
A moszkvai székhelyű biztonsági cég, a Kaspersky Lab, az újonnan felfedezett, de viszonylag régi rosszindulatú szoftver, a Slingshot szerint. Ez az egyik legfejlettebb támadási platform, amelyet valaha fedeztek fel. Úgy tűnik, hogy minden jel arra utal, hogy a rosszindulatú szoftvert egy jól felszerelt ország nevében és kémkedés céljából hozták létre.
A Kaspersky Lab szerint a Slingshot malware létrehozásában elért kifinomultság csak a következő rosszindulatú szoftverekkel riválisa, amelyek szintén annyira annyira erősek, hogy leleményességükkel rekordokat tettek:
Sauron projekt - Ez a rosszindulatú program nagyon hatékony volt, és évek óta el tudta rejteni a biztonsági szoftvereket.
Verizon - fejlett hátsó ajtó, amely a magas szintű célpontok között megfertőzte a Belgacom belga telekommunikációt.
A tavalyi Frida közzétett 25 oldalas jelentésben a Kaspersky Lab kutatói írták:
' A Slingshot felfedezése egy másik összetett ökoszisztémát tárt fel, ahol több komponens működik együtt egy nagyon rugalmas és jól olajozott számítógépes kémkedés platform biztosítása érdekében. A rosszindulatú program rendkívül fejlett, technikai szempontból mindenféle problémát megold, és gyakran nagyon elegáns módon, a régebbi és az újabb komponenseket ötvözve egy alaposan átgondolt, hosszú távú működés során, ami elvárható a legkiválóbb technológiától is. erőforrásokkal ellátott színész. ”
Kapcsolódó kérdések: Kína titokban telepített eszközöket hallgatás céljából az Afrikai Unió küldötteinek az általa tervezett és az épületről épített komplexumhoz?
Hogyan terjed?
A kutatók szerint még nem szűkítették le, hogy meghatározzák, hogy a Slingshot miként kezdetben fertőzi meg a célokat. Számos esetben azonban úgy tűnik, hogy a Slingshot operátorok a lett MikroTik gyártója által készített útválasztók útján szereztek hozzáférést, és belementek a rosszindulatú kódokba.
A MikroTik útválasztók fertőzésének részletei még mindig nem ismertek, de úgy tűnik, hogy a Slingshot a router Winbox nevű konfigurációs segédprogramját használja a dinamikus hivatkozás könyvtári fájlok letöltésére az útválasztó fájlrendszeréből.
Az egyik ilyen fájl a ipv4.dll ”, A rosszindulatú programok fejlesztői által létrehozott rosszindulatú letöltési ügynök. Ezután a Winbox továbbítja az ipv4.dll fájlt a megcélzott számítógépekre. Miután egy számítógép megfertőződött, a Winbox tovább tölti az ipv4.dll fájlt az eszköz memóriájába, és végrehajtja azt.
A kutatók azt állítják, hogy a Slingshot további módszereket használ a terjesztésre, például a nulla napos sebezhetőségeket. Úgy gondolják, hogy a rosszindulatú programokat 2012-től hozták létre, és a múlt hónapig működtek, amikor a biztonsági szoftverek végül nettósították. Az a tény, hogy már régóta el tudott rejtőzni a víruskereső és rosszindulatú programok ellen, azt mondja, hogy remekmű volt egy jól felszerelt szervezet létrehozása; valami jellemző az államilag támogatott hackerekre.
Olvassa el: Észak-Korea évek óta csapkodik az afrikai és más ázsiai országokban
A kutatók azt is állítják, hogy a Slingshot titkosított virtuális fájlrendszert használhatott a merevlemez nem használt részeiben, hogy elrejtse magát. A rosszindulatú programok elválaszthatják a rosszindulatú fájlokat a fertőzött számítógép fájlrendszeréből; ezáltal hihetetlenül lehetetlenné teszi szinte minden víruskereső motor észlelését.
Más lehetséges lopakodási technikák, amelyeket a rosszindulatú program alkalmazhatott, a több modul összes szöveges karakterének titkosítása és a rendszerszolgáltatások közvetlen hívása a biztonsági szoftver által használt összes kampó megkerülésére, vagy akár a kikapcsolásig, amikor a kriminalisztikai eszközök betöltésre kerülnek. a számítógép.
Mi volt a slingshot elsődleges célja?
A kutatók szerint ezt a rosszindulatú szoftvert kémkedés céljából államilag szponzorálták. A Kaspersky Lab elemzése szerint a Slingshot segítségével feljegyezték a felhasználók asztali tevékenységeit, képernyőképeket, vágólap-tartalmat, hálózati adatokat, billentyűzet-adatokat, USB-kapcsolati adatokat és jelszavakat gyűjtöttek.
A Slingshot hozzáférése az operációs rendszermaghoz azt jelentette, hogy hozzáférést kapott a számítógép belső memóriájában tárolt összes adathoz. Kaspersky szerint a fertőzött számítógépek többsége elsősorban Kenyában és Jemenben volt. Ennek nyomai voltak Tanzániában, Szomáliában, Szudánban, Irakban, Törökországban, Jordániában, Kongóban, Líbiában és Afganisztánban.
Kapcsolódó: A Microsoft figyelmezteti a kenyai vállalkozásokat, hogy a számítógépes fenyegetéseket súlyosabban vegyék fel
Az áldozatok többsége úgy tűnik, hogy magánszemélyek, bár ritka esetekben fordulnak elő rosszindulatú programokkal fertőzött számítógépek a szervezetekben és intézményekben.
Ez egy hatalmas állam alkotása
A rosszindulatú programok hibakeresési üzeneteit tökéletes angol nyelven írták, ami úgy tűnik sugallja, hogy a fejlesztő nagyon jól beszéli a nyelvet. A Kaspersky Lab ugyanakkor nem említette, hogy melyik országban feltételezi, hogy szponzorálta a rosszindulatú szoftvert, vagy nem azonosította a fejlesztőt, ám biztosan azt mondták, hogy azt egy hatalmas nemzet kérésére fejlesztették ki.
' A slingshot nagyon bonyolult, mögötte lévő fejlesztők egyértelműen sok időt és pénzt költöttek létrehozására. Fertőző vektorja figyelemre méltó, és legjobb tudomásunk szerint egyedi, ” írta a Kaspersky Lab jelentésben.