Malver, koji su istraživači nazvali „Slingshot“, napada i inficira žrtve preko kompromitovanih Wi-Fi rutera.
Istraživači kompanije Kaspersky Lab su otkrili sofisticiranu pretnju koja se koristila za sajber špijunažu širom sveta, posebno na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine.
Malver, koji su istraživači nazvali „Slingshot“, napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel režimu rada (kernel mode), čime se stiče kompletna kontrola nad uređajima žrtve. Prema istraživačima, mnoge tehnike koje su koristili akteri pretnji su jedinstvene i izuzetno efikasne, kad je u pitanju tajno prikupljanje informacija, tako što prikrivaju svoj saobraćaj u označenim paketima podataka, koje mogu svakodnevno presretati, bez ostavljanja bilo kakvog traga.
Operacija „Slingshot“ je otkrivena nakon što su istraživači otkrili sumnjiv „keylogger” program, koji prati korisnikove unose preko tastature i kreirali svojevrsni znak prepoznavanja (behavioral detection signature), kako bi videli da li se taj kod pojavljuje još negde. Ovo je pokrenulo proces detekcije, tokom koje se ispostavilo da je zaraženi računar sa sumnjivim fajlom unutar sistemskog foldera pod nazivom „scesrv.dll“. Istraživači su odlučili da nastave sa istragom. Analiza ovog fajla je pokazala da, uprkos tome što izgleda legitimno, modul „scesrv.dll“ sadrži maliciozni kod, koji je ugrađen u njega. Kako je ova „biblioteka“ učitana preko ‘services.exe’, procesa koji ima sistemske privilegije, otrovana “biblioteka” je stekla iste privilegije. Istraživači su shvatili da je izuzetno napredni uljez pronašao način da uđe u samo srce računara.
Najznačajnija stvar u vezi „Slingshot“-a je verovatno njegov neuobičajeni vektor napada. Kako su istraživači otkrivali nove žrtve, shvatili su da je većina verovatno inficirana preko hakovanih rutera. Tokom ovih napada, izgleda da je grupa koja stoji iza „Slingshot“-a, kompromitovala rutere i smestila u njih maliciozni dinamični link biblioteke, koji zapravo predstavlja način za skidanje drugih malicioznih komponenata sa interneta. Kad se administrator prijavi da bi konfigurisao ruter, softver za upravljanje skida i aktivira maliciozni modul na administratorovom računaru. Metod koji se koristi za inicijalno hakovanje rutera ostaje nepoznat
U daljem toku inficiranja, „Slingshot“ aktivira brojne module na žrtvinom uređaju, uključujući i dva velika i moćna: „Cahnadr“ i „GollumApp“. Ova dva modula su povezana, I imaju sposobnost da podržavaju jedan drugog u prikupljanju podataka, upornosti i curenju podataka.
Ova napredna i uporna pretnja, takođe uključuje niz tehnika kao pomoć u izbegavanju detekcije: uključujući i enkripciju svih nizova u svojim modulima, čime se sistemske usluge direktno aktiviraju, kako bi se zaobišle bezbednosne zamke proizvoda, tako što se koriste brojne tehnike „anti debugging“-a, te biraju koji će proces ubaciti, u zavisnosti od instaliranih i aktivnih bezbednosnih procesa rešenja, i još toga.
„Slingshot“ funkcioniše kao pasivni „backdoor“: ne sadrži adresu komandi i kontrola (C&C) već je stiče preko operatera, tako što presreće sve mrežne pakete u modu jezgra i proverava da vidi da li su prisutne dve „teško kodirane“ magične konstante u zaglavlju. Ukoliko je ovo slučaj, to znači da paket sadrži C&C adresu. Nakon toga, „Slingshot“ uspostavlja enkriptovani kanal komunikacije sa komandama i kontrolama, i počinje da ovim putem prenosi podatke namenjene „curenju izvan“.
Čini se da je sajber špijunaža glavna svrha „Slingshot“-a. Analize sugerišu da skuplja „skrinšotove“, podatke uzete sa tastature, podatke vezane za mrežu, USB konekcije, ostale aktivnosti sa desktopa, „klipboard“ podatke i drugo, iako njegov pristup jezgru (kernel access) znači i da može ukrasti šta god poželi.
Maliciozni uzorci koje su ispitali istraživači, označeni su kao „verzija 6.x“, kako bi se sugerisalo da pretnja postoji već neko vreme.
Vreme razvijanja, veština i trošak koji su uloženi u kreiranje složenog seta alatki „Slingshot“-a mora da su bili izuzetno visoki. Uzevši zajedno, ovi tragovi sugerišu da je grupa koja stoji iza „Slingshot“-a verovatno dobro organizovana, profesionalna i da je najverovatnije finansira država.
Tekstualni tragovi, koji se nalaze u kodu, sugerišu da je u pitanju država engleskog govornog područja. Međutim, precizno pronalaženje krivaca je uvek teško, ako ne i nemoguće, i sve više podložno manipulaciji i greškama.
Istraživači su do sada uočili oko stotinu žrtava „Slingshot“-a i njegovih srodnih modula, koji su locirani u Keniji, Jemenu, Avganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji. Izgleda da su većina žrtava ciljane osobe, a ne organizacije, iako je bilo i par državnih organizacija i institucija. U Keniji i Jemenu je do sada primećeno najviše žrtava.
Izveštaj o naprednoj pretnji „Slingshot“, možete pronaći na Securelist.com.