Slingshot: Špijun iz rutera

Opisi virusa, 13.03.2018, 10:00 AM

Slingshot: Špijun iz rutera

Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine. Malver koji je nazvan Slingshot napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel modu, čime se stiče kompletna kontrola nad uređajima žrtve. Prema tvrdnjama istraživača, mnoge tehnike koje su koristili oni koji stoje iza ovog malvera su jedinstvene i izuzetno efikasne kada je u pitanju tajno prikupljanje informacija, jer omogućavaju napadačima da prikriju svoj saobraćaj u označenim paketima podataka koje mogu svakodnevno presretati, a da pri tom ne ostave bilo kakav trag.

Operacija „Slingshot“ je otkrivena nakon što su istraživači otkrili keylogger program koji prati korisnikove unose preko tastature i kreirali svojevrsni znak prepoznavanja (behavioral detection signature), da bi videli da li se taj kod pojavljuje još negde. Ovo je pokrenulo proces detekcije, tokom kojeg se ispostavilo da se na zaraženom računaru unutar sistemskog foldera nalazi sumnjivi fajl scesrv.dll. Analiza ovog fajla je pokazala da, uprkos tome što izgleda legitimno, scesrv.dll sadrži maliciozni kod. Maliciozna biblioteka je učitana preko procesa services.exe koji ima sistemske privilegije, pa tako i napadači stiču iste privilegije. To je istraživače navelo na zaključak da su napadači našli način da uđu u samo srce računara.

Slingshot ima veoma neuobičajeni vektor napada. Većina žrtava je verovatno inficirana preko hakovanih rutera. Napadači su kompromitovali rutere i smestili u njih maliciozni dll, koji je downloader koji služi za preuzimanje drugih malicioznih komponenata sa interneta. Kada se administrator prijavi da bi konfigurisao ruter, softver za upravljanje preuzima i aktivira maliciozni modul na administratorovom računaru. Metod koji se koristi za inicijalno hakovanje rutera ostaje nepoznat.

Slingshot aktivira brojne module na žrtvinom uređaju, uključujući i dva moćna modula - Cahnadr i GollumApp. Ova dva modula su povezana i podržavaju jedan drugog u prikupljanju podataka, opstanku na sistemu i curenju podataka.

Cilj Slingshota je sajber špijunaža - on prikuplja screensshotove, unose preko tastature, podatke vezane za mrežu, USB konekcije, ostale aktivnosti sa desktopa, podatke iz clipboarda i drugo. Njegov pristup kernelu znači i da malver može da ukrade šta god poželi.

Malver koristi niz tehnika koje mu pomažu da ne bude otkriven.

Slingshot funkcioniše kao pasivni backdoor - ne sadrži adresu komandno-kontrolog servera (C&C) već je dobija od operatera. Slingshot uspostavlja enkriptovani kanal komunikacije sa C&C serverom, i počinje da šalje ukradene podatke.

Uzorci malvera koje su analizirali istraživači označeni su kao verzija 6.x, što znači da malver postoji već neko vreme. U malver je uloženo dosta vremena, veština i novca. Ovo navodi na zaključak da je grupa koja stoji iza Slingshota verovatno dobro organizovana, profesionalna i da je najverovatnije finansira neka država. Tragovi koji su pronađeni u kodu sugerišu da je u pitanju država engleskog govornog područja. Međutim, identifikacija krivaca je uvek teška, ako ne i nemoguća.

Istraživači su do sada identifikovali oko stotinu žrtava Slingshota i njegovih srodnih modula, koji su pronađeni u Keniji, Jemenu, Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji. Izgleda da su većina žrtava pojedinci a ne organizacije, iako je bilo i par državnih organizacija i institucija. U Keniji i Jemenu je do sada identifikovano najviše žrtava.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Hakerska grupa iz Severne Koreje praćena pod nazivom Kimsuky, koristi ranije nikada viđen malver za čitanje i preuzimanje elektronske pošte i pril... Dalje

Novi malver za macOS krade podatke sa zaraženih uređaja

Novi malver za macOS krade podatke sa zaraženih uređaja

Istraživači bezbednosti iz kompanije ESET otkrili su novi backdoor za macOS koji se koristi u ciljanim napadima za krađu osetljivih informacija od ... Dalje

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Istraživači sajber bezbednosti iz Intezera otkrili su novi malver koji krade informacije. Ciljevi malvera su kreatori YouTube sadržaja od kojih pok... Dalje

Opasni malver se širi preko rezultata Google pretrage

Opasni malver se širi preko rezultata Google pretrage

Malver koji krade lozinke, kreditne kartice i kripto novčanike podmeće se žrtvama se kroz rezultate pretrage za piratske kopije CCleaner Pro Window... Dalje

Posle desetomesečne pauze malver Emotet se vratio i sada krade informacije o kreditnim karticama iz Chromea

Posle desetomesečne pauze malver Emotet se vratio i sada krade informacije o kreditnim karticama iz Chromea

Botnet Emotet sada pokušava da zarazi potencijalne žrtve modulom za krađu kreditnih kartica dizajniranim da prikupi informacije o kreditnim kartica... Dalje