Slingshot: Špijun iz rutera
Opisi virusa, 13.03.2018, 10:00 AM

Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine. Malver koji je nazvan Slingshot napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel modu, čime se stiče kompletna kontrola nad uređajima žrtve. Prema tvrdnjama istraživača, mnoge tehnike koje su koristili oni koji stoje iza ovog malvera su jedinstvene i izuzetno efikasne kada je u pitanju tajno prikupljanje informacija, jer omogućavaju napadačima da prikriju svoj saobraćaj u označenim paketima podataka koje mogu svakodnevno presretati, a da pri tom ne ostave bilo kakav trag.
Operacija „Slingshot“ je otkrivena nakon što su istraživači otkrili keylogger program koji prati korisnikove unose preko tastature i kreirali svojevrsni znak prepoznavanja (behavioral detection signature), da bi videli da li se taj kod pojavljuje još negde. Ovo je pokrenulo proces detekcije, tokom kojeg se ispostavilo da se na zaraženom računaru unutar sistemskog foldera nalazi sumnjivi fajl scesrv.dll. Analiza ovog fajla je pokazala da, uprkos tome što izgleda legitimno, scesrv.dll sadrži maliciozni kod. Maliciozna biblioteka je učitana preko procesa services.exe koji ima sistemske privilegije, pa tako i napadači stiču iste privilegije. To je istraživače navelo na zaključak da su napadači našli način da uđu u samo srce računara.
Slingshot ima veoma neuobičajeni vektor napada. Većina žrtava je verovatno inficirana preko hakovanih rutera. Napadači su kompromitovali rutere i smestili u njih maliciozni dll, koji je downloader koji služi za preuzimanje drugih malicioznih komponenata sa interneta. Kada se administrator prijavi da bi konfigurisao ruter, softver za upravljanje preuzima i aktivira maliciozni modul na administratorovom računaru. Metod koji se koristi za inicijalno hakovanje rutera ostaje nepoznat.
Slingshot aktivira brojne module na žrtvinom uređaju, uključujući i dva moćna modula - Cahnadr i GollumApp. Ova dva modula su povezana i podržavaju jedan drugog u prikupljanju podataka, opstanku na sistemu i curenju podataka.
Cilj Slingshota je sajber špijunaža - on prikuplja screensshotove, unose preko tastature, podatke vezane za mrežu, USB konekcije, ostale aktivnosti sa desktopa, podatke iz clipboarda i drugo. Njegov pristup kernelu znači i da malver može da ukrade šta god poželi.
Malver koristi niz tehnika koje mu pomažu da ne bude otkriven.
Slingshot funkcioniše kao pasivni backdoor - ne sadrži adresu komandno-kontrolog servera (C&C) već je dobija od operatera. Slingshot uspostavlja enkriptovani kanal komunikacije sa C&C serverom, i počinje da šalje ukradene podatke.
Uzorci malvera koje su analizirali istraživači označeni su kao verzija 6.x, što znači da malver postoji već neko vreme. U malver je uloženo dosta vremena, veština i novca. Ovo navodi na zaključak da je grupa koja stoji iza Slingshota verovatno dobro organizovana, profesionalna i da je najverovatnije finansira neka država. Tragovi koji su pronađeni u kodu sugerišu da je u pitanju država engleskog govornog područja. Međutim, identifikacija krivaca je uvek teška, ako ne i nemoguća.
Istraživači su do sada identifikovali oko stotinu žrtava Slingshota i njegovih srodnih modula, koji su pronađeni u Keniji, Jemenu, Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji. Izgleda da su većina žrtava pojedinci a ne organizacije, iako je bilo i par državnih organizacija i institucija. U Keniji i Jemenu je do sada identifikovano najviše žrtava.

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade