Slingshot: Špijun iz rutera

Opisi virusa, 13.03.2018, 10:00 AM

Slingshot: Špijun iz rutera

Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine. Malver koji je nazvan Slingshot napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel modu, čime se stiče kompletna kontrola nad uređajima žrtve. Prema tvrdnjama istraživača, mnoge tehnike koje su koristili oni koji stoje iza ovog malvera su jedinstvene i izuzetno efikasne kada je u pitanju tajno prikupljanje informacija, jer omogućavaju napadačima da prikriju svoj saobraćaj u označenim paketima podataka koje mogu svakodnevno presretati, a da pri tom ne ostave bilo kakav trag.

Operacija „Slingshot“ je otkrivena nakon što su istraživači otkrili keylogger program koji prati korisnikove unose preko tastature i kreirali svojevrsni znak prepoznavanja (behavioral detection signature), da bi videli da li se taj kod pojavljuje još negde. Ovo je pokrenulo proces detekcije, tokom kojeg se ispostavilo da se na zaraženom računaru unutar sistemskog foldera nalazi sumnjivi fajl scesrv.dll. Analiza ovog fajla je pokazala da, uprkos tome što izgleda legitimno, scesrv.dll sadrži maliciozni kod. Maliciozna biblioteka je učitana preko procesa services.exe koji ima sistemske privilegije, pa tako i napadači stiču iste privilegije. To je istraživače navelo na zaključak da su napadači našli način da uđu u samo srce računara.

Slingshot ima veoma neuobičajeni vektor napada. Većina žrtava je verovatno inficirana preko hakovanih rutera. Napadači su kompromitovali rutere i smestili u njih maliciozni dll, koji je downloader koji služi za preuzimanje drugih malicioznih komponenata sa interneta. Kada se administrator prijavi da bi konfigurisao ruter, softver za upravljanje preuzima i aktivira maliciozni modul na administratorovom računaru. Metod koji se koristi za inicijalno hakovanje rutera ostaje nepoznat.

Slingshot aktivira brojne module na žrtvinom uređaju, uključujući i dva moćna modula - Cahnadr i GollumApp. Ova dva modula su povezana i podržavaju jedan drugog u prikupljanju podataka, opstanku na sistemu i curenju podataka.

Cilj Slingshota je sajber špijunaža - on prikuplja screensshotove, unose preko tastature, podatke vezane za mrežu, USB konekcije, ostale aktivnosti sa desktopa, podatke iz clipboarda i drugo. Njegov pristup kernelu znači i da malver može da ukrade šta god poželi.

Malver koristi niz tehnika koje mu pomažu da ne bude otkriven.

Slingshot funkcioniše kao pasivni backdoor - ne sadrži adresu komandno-kontrolog servera (C&C) već je dobija od operatera. Slingshot uspostavlja enkriptovani kanal komunikacije sa C&C serverom, i počinje da šalje ukradene podatke.

Uzorci malvera koje su analizirali istraživači označeni su kao verzija 6.x, što znači da malver postoji već neko vreme. U malver je uloženo dosta vremena, veština i novca. Ovo navodi na zaključak da je grupa koja stoji iza Slingshota verovatno dobro organizovana, profesionalna i da je najverovatnije finansira neka država. Tragovi koji su pronađeni u kodu sugerišu da je u pitanju država engleskog govornog područja. Međutim, identifikacija krivaca je uvek teška, ako ne i nemoguća.

Istraživači su do sada identifikovali oko stotinu žrtava Slingshota i njegovih srodnih modula, koji su pronađeni u Keniji, Jemenu, Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji. Izgleda da su većina žrtava pojedinci a ne organizacije, iako je bilo i par državnih organizacija i institucija. U Keniji i Jemenu je do sada identifikovano najviše žrtava.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

Istraživači IBM-a otkrili su novi, do sada nepoznati destruktivni malver za brisanje podataka koji hakeri koji rade za Iran koriste za napade na kom... Dalje

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

U mnoštvu ransomwarea Clop CryptoMik Ransomware izdvaja se po tome što pokušava da onemogući Windows Defender, kao i da ukloni Microsoft Security... Dalje

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Istraživači iz kompanije Truswave upozorili su na emailove koji sadrže fajl predstavljen kao važno ažuriranje za Windows, a koji zapravo dovodi d... Dalje

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje