Kenya és Tanzánia a Slingshot által célzott országok között; egy erős malware, amely 6 évig rejtett és útválasztón keresztül terjedt

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

Kenya and Tanzania among countries targeted by Slingshot

A moszkvai székhelyű biztonsági cég, a Kaspersky Lab, az újonnan felfedezett, de viszonylag régi rosszindulatú szoftver, a Slingshot szerint. Ez az egyik legfejlettebb támadási platform, amelyet valaha fedeztek fel. Úgy tűnik, hogy minden jel arra utal, hogy a rosszindulatú szoftvert egy jól felszerelt ország nevében és kémkedés céljából hozták létre.

A Kaspersky Lab szerint a Slingshot malware létrehozásában elért kifinomultság csak a következő rosszindulatú szoftverekkel riválisa, amelyek szintén annyira annyira erősek, hogy leleményességükkel rekordokat tettek:

Sauron projekt - Ez a rosszindulatú program nagyon hatékony volt, és évek óta el tudta rejteni a biztonsági szoftvereket.

Verizon - fejlett hátsó ajtó, amely a magas szintű célpontok között megfertőzte a Belgacom belga telekommunikációt.

A tavalyi Frida közzétett 25 oldalas jelentésben a Kaspersky Lab kutatói írták:

' A Slingshot felfedezése egy másik összetett ökoszisztémát tárt fel, ahol több komponens működik együtt egy nagyon rugalmas és jól olajozott számítógépes kémkedés platform biztosítása érdekében. A rosszindulatú program rendkívül fejlett, technikai szempontból mindenféle problémát megold, és gyakran nagyon elegáns módon, a régebbi és az újabb komponenseket ötvözve egy alaposan átgondolt, hosszú távú működés során, ami elvárható a legkiválóbb technológiától is. erőforrásokkal ellátott színész. ”

Kapcsolódó kérdések: Kína titokban telepített eszközöket hallgatás céljából az Afrikai Unió küldötteinek az általa tervezett és az épületről épített komplexumhoz?

Hogyan terjed?

A kutatók szerint még nem szűkítették le, hogy meghatározzák, hogy a Slingshot miként kezdetben fertőzi meg a célokat. Számos esetben azonban úgy tűnik, hogy a Slingshot operátorok a lett MikroTik gyártója által készített útválasztók útján szereztek hozzáférést, és belementek a rosszindulatú kódokba.

A MikroTik útválasztók fertőzésének részletei még mindig nem ismertek, de úgy tűnik, hogy a Slingshot a router Winbox nevű konfigurációs segédprogramját használja a dinamikus hivatkozás könyvtári fájlok letöltésére az útválasztó fájlrendszeréből.

Az egyik ilyen fájl a ipv4.dll ”, A rosszindulatú programok fejlesztői által létrehozott rosszindulatú letöltési ügynök. Ezután a Winbox továbbítja az ipv4.dll fájlt a megcélzott számítógépekre. Miután egy számítógép megfertőződött, a Winbox tovább tölti az ipv4.dll fájlt az eszköz memóriájába, és végrehajtja azt. Kenya and Tanzania among countries targeted by Slingshot

A kutatók azt állítják, hogy a Slingshot további módszereket használ a terjesztésre, például a nulla napos sebezhetőségeket. Úgy gondolják, hogy a rosszindulatú programokat 2012-től hozták létre, és a múlt hónapig működtek, amikor a biztonsági szoftverek végül nettósították. Az a tény, hogy már régóta el tudott rejtőzni a víruskereső és rosszindulatú programok ellen, azt mondja, hogy remekmű volt egy jól felszerelt szervezet létrehozása; valami jellemző az államilag támogatott hackerekre. Kenya and Tanzania among countries targeted by Slingshot

Olvassa el: Észak-Korea évek óta csapkodik az afrikai és más ázsiai országokban

A kutatók azt is állítják, hogy a Slingshot titkosított virtuális fájlrendszert használhatott a merevlemez nem használt részeiben, hogy elrejtse magát. A rosszindulatú programok elválaszthatják a rosszindulatú fájlokat a fertőzött számítógép fájlrendszeréből; ezáltal hihetetlenül lehetetlenné teszi szinte minden víruskereső motor észlelését.

Más lehetséges lopakodási technikák, amelyeket a rosszindulatú program alkalmazhatott, a több modul összes szöveges karakterének titkosítása és a rendszerszolgáltatások közvetlen hívása a biztonsági szoftver által használt összes kampó megkerülésére, vagy akár a kikapcsolásig, amikor a kriminalisztikai eszközök betöltésre kerülnek. a számítógép.

Mi volt a slingshot elsődleges célja?

A kutatók szerint ezt a rosszindulatú szoftvert kémkedés céljából államilag szponzorálták. A Kaspersky Lab elemzése szerint a Slingshot segítségével feljegyezték a felhasználók asztali tevékenységeit, képernyőképeket, vágólap-tartalmat, hálózati adatokat, billentyűzet-adatokat, USB-kapcsolati adatokat és jelszavakat gyűjtöttek.

A Slingshot hozzáférése az operációs rendszermaghoz azt jelentette, hogy hozzáférést kapott a számítógép belső memóriájában tárolt összes adathoz. Kaspersky szerint a fertőzött számítógépek többsége elsősorban Kenyában és Jemenben volt. Ennek nyomai voltak Tanzániában, Szomáliában, Szudánban, Irakban, Törökországban, Jordániában, Kongóban, Líbiában és Afganisztánban. Kenya and Tanzania among countries targeted by Slingshot

Kapcsolódó: A Microsoft figyelmezteti a kenyai vállalkozásokat, hogy a számítógépes fenyegetéseket súlyosabban vegyék fel

Az áldozatok többsége úgy tűnik, hogy magánszemélyek, bár ritka esetekben fordulnak elő rosszindulatú programokkal fertőzött számítógépek a szervezetekben és intézményekben.

Ez egy hatalmas állam alkotása

A rosszindulatú programok hibakeresési üzeneteit tökéletes angol nyelven írták, ami úgy tűnik sugallja, hogy a fejlesztő nagyon jól beszéli a nyelvet. A Kaspersky Lab ugyanakkor nem említette, hogy melyik országban feltételezi, hogy szponzorálta a rosszindulatú szoftvert, vagy nem azonosította a fejlesztőt, ám biztosan azt mondták, hogy azt egy hatalmas nemzet kérésére fejlesztették ki.

' A slingshot nagyon bonyolult, mögötte lévő fejlesztők egyértelműen sok időt és pénzt költöttek létrehozására. Fertőző vektorja figyelemre méltó, és legjobb tudomásunk szerint egyedi, ” írta a Kaspersky Lab jelentésben.