Cercetătorii Kaspersky Lab au descoperit o amenințare complexă, folosită pentru spionaj cibernetic în Orientul Mijlociu și Africa, cel puțin din 2012, până în februarie 2018. Programul malware, pe care cercetătorii l-au denumit “Slingshot”, atacă și infectează victimele prin intermediul unor router-e compromise și poate funcționa în modul “kernel”, dând control total asupra dispozitivelor victimei.
Potrivit cercetătorilor, multe dintre tehnicile folosite de această grupare sunt unice și foarte eficiente în a aduna informații în secret, ascunzând traficul în pachete de date speciale, pe care le interceptează din comunicațiile de zi cu zi, fără a lăsa nicio urmă.
Operațiunea Slingshot a fost descoperită după ce cercetătorii au găsit un program de tip keylogger suspect și au creat o semnătură de detecție pe baza comportamentului, pentru a vedea dacă acel cod apărea în altă parte. Acest lucru a dus la o detecție pe un computer infectat cu un fișier suspect, în folder-ul de sistem denumit scesrv.dll. Cercetătorii au decis să investigheze mai departe, iar analiza fișierului a arătat că, în ciuda faptului că părea legitim, modulul scesrv.dll conținea cod malware. Din moment ce acesta e încărcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectată câștiga aceleași drepturi. Cercetătorii și-au dat seama că un intrus profesionist reușise să ajungă la elementele esențiale ale computerului.
Slingshot iese în evidență prin vectorul său de atac neobișnuit. Pe măsură ce descopereau mai multe victime, cercetătorii au văzut că multe dintre ele păreau să fi fost infectate inițial prin intermediul unor router-e compromise. În timpul acestor atacuri, grupul din spatele Slingshot pare să compromită router-ele și să plaseze în interior un link dinamic către o arhivă, care descarcă mai multe componente periculoase. Atunci când un administrator se loghează pentru a configura router-ul, programul de management al router-ului descarcă și rulează modulul malware pe computerul administratorului. Metoda folosită pentru a compromite inițial router-ele rămâne necunoscută.
După infectare, Slingshot încarcă un număr de module pe dispozitivul victimei, inclusiv două foarte puternice: Cahnadr și GollumApp. Cele două module sunt conectate și capabile să se ajute unul pe altul în colectarea de informații, persistență și sustragerea de date.
Scopul principal al Slingshot pare să fie spionajul cibernetic. Analiza sugerează că păstrează screenshots, date din tastatură, date de rețea, parole, conexiuni USB, date din clipboard și multe altele, chiar dacă accesul său prin kernel înseamnă că poate fura orice dorește.
Această amenințare complexă și persistentă încorporează, de asemenea, o serie de tehnici pentru evitarea detecției, inclusiv criptarea tuturor șirurilor de caractere în modulele sale, accesarea directă a serviciilor sistemului pentru a trece de tehnologiile de securitate, folosirea unor tehnici anti-debugging și selectarea procesului care urmează să fie infectat, în funcție de procesele soluțiilor de securitate instalate și active și de alți parametri.
Slingshot funcționează ca un backdoor pasiv: nu are o adresă de comandă și control (C&C) scrisă în hardcode, dar obține una de la operator interceptând toate pachetele de rețea în modul kernel și verificând dacă există două cuvinte cheie în header (două „constante magice”). Dacă acestea există, înseamnă că pachetul conține și adresa de C&C. Pentru pasul următor, Slingshot stabilește un canal criptat de comunicare cu C&C și începe să transmită date prin intermediul său.
Mostrele de malware investigate de cercetători au denumirea ‘versiunea 6.x’, ceea ce ne sugerează că amenințarea există deja de ceva vreme. Perioada extinsă de dezvoltare, nivelul de complexitate și costurile aferente creării setului de instrumente Slingshot demonstrează amploarea și importanța acestui proiect. Grupul din spatele Slingshot pare să fie extrem de bine organizat, specializat și, probabil, sprijinit de către un stat. Indiciile textuale din cod sugerează că ar fi vorba de un grup vorbitor de limba engleză. Cu toate acestea, este dificil, dacă nu imposibil, să se determine cu exactitate identitatea grupului, fiind vorba de un proces de atribuire în care pot apărea manipulări și erori.
Până acum, cercetătorii au găsit aproximativ 100 de victime ale Slingshot și ale modulelor aferente în Kenya, Yemen, Afghanistan, Libia, Congo, Iordan, Turcia, Irak, Sudan, Somalia și Tanzania. Majoritatea victimelor par să fie utilizatori individuali și nu organizații, dar există și câteva organizații și instituții guvernamentale care au fost afectate. Până acum, cele mai multe victime au fost din Kenya și Yemen.
“Slingshot este o amenințare complexă care utilizează o paletă extinsă de instrumente și tehnici, inclusiv modul kernel, care până acum era identificat doar în cazul atacurilor avansate. Această funcție este extrem de valoroasă și profitabilă pentru atacatori, ceea ce ar putea explica faptul că amenințarea are deja 6 ani de activitate”, spune Alexey Shulmin, Lead Malware Analyst, Kaspersky Lab.
Toate produsele Kaspersky Lab detectează și blochează această amenințare.
Pentru a nu cădea pradă unui astfel de atac, specialiștii de la Kaspersky Lab recomandă implementarea următoarelor măsuri:
• Utilizatorii router-elor Mikrotik ar trebui să instaleze ultima versiune a software-ului cât de curând posibil pentru a asigura protecția împotriva vulnerabilităților deja cunoscute. În plus, Mikrotik Winbox nu mai descarcă nimic din router în computerul utilizatorului.
• Folosiți o soluție de securitate de calibru corporate, împreună cu tehnologii anti atacuri direcționate și servicii de informații despre amenințări, cum ar fi soluția Kaspersky Threat Management and Defense. Acestea pot identifica și bloca atacurile avansate cu țintă precisă prin analizarea anomaliilor la nivel de rețea și oferind echipelor de securitate cibernetică vizibilitate totală asupra rețelei și automatizarea răspunsurilor.
• Oferiți personalului de securitate IT acces la cele mai noi informații despre amenințările cibernetice, care le vor furniza instrumente utile pentru prevenirea și analiza atacurilor direcționate. Astfel de instrumente sunt indicatorii de compromitere (IOC), regulile YARA și rapoartele privind amenințările complexe.
• Dacă identificați simptome timpurii ale unui atac direcționat, vă sfătuim să luați în considerare serviciile de gestionare a securității care că vor permite să detectați din timp semnele amenințărilor avansate, să reduceți perioadele de inactivitate și să răspundeți în timp util la incidentele de securitate.