Moćan zlonamjerni softver koji se skrivao šest godina proširio se putem usmjerivača

Moćan zlonamjerni softver koji se skrivao šest godina širio se putem usmjerivačaUvećajKaspersky Laboratorija

Istraživači su otkrili zlonamjerni softver koji je tako krut ostao skriven šest godina unatoč zarazi najmanje 100 računala u cijelom svijetu.

Slingshot – koja je dobila ime po tekstu koji se nalazi unutar nekih oporavljeni uzorci zlonamjernog softvera – jedan je od najnaprednijih napada platforme ikad otkrivene, što znači da je vjerojatno razvijen na u ime države koja ima velike resurse, istraživača sa sjedištem u Moskvi Kaspersky Lab izvijestio je u petak. Izvrsnost zlonamjernog softvera suparnici Regin-a – napredna dvorana koja je zarazila Belgijanca telekom Belgacom i ostali visoki ciljevi godinama – i Projekt Sauron, odvojeni dio zlonamjernog softvera za koji se sumnja da postoji razvijena od strane nacionalne države koja je također ostala skrivena godine.

Složeni ekosustav

“Otkrivanje Slingshota otkriva još jedan složen ekosustav gdje više komponenti rade zajedno kako bi se pružila vrlo dobra fleksibilna i dobro podmazana platforma za cyber špijunažu, “Laboratorija Kaspersky napisali su istraživači u izvještaju na 25 stranica objavljenom u petak. „The zlonamjerni softver je visoko napredan, rješava sve vrste problema od tehničku perspektivu i često na vrlo elegantan način, kombinirajući starije i novije komponente u temeljito promišljenom, dugoročan rad, nešto što možete očekivati ​​od vrhunskog dobro raspoloženi glumac. ”

Istraživači još uvijek ne znaju točno kako Slingshot u početku zarazio sve svoje mete. U nekoliko slučajeva, međutim, Operatori za Slingshot dobili su pristup usmjerivačima koje je izradio Latvijski proizvođač MikroTik i u njega je zasadio zlonamjerni kod. specifičnosti tehnika usmjernika još uvijek nije poznata, ali uključuje uporabu MikroTik alat za konfiguraciju zvan Winbox za preuzimanje dinamike povežite datoteke biblioteke iz datotečnog sustava usmjerivača. Jedna od datoteka, ipv4.dll, je zlonamjerni agent za preuzimanje kreiran u Slingshot-u programeri. Winbox prenosi ipv4.dll na ciljano računalo, učitava ga u memoriju i izvršava.

U aSlingshot FAQ, istraživači su napisali:

Ovaj se DLL tada povezuje na tvrdo kodirani IP i ulaz (u svakom slučajeva, vidjeli smo da je to IP adresa usmjerivača), a preuzima drugu zlonamjerne komponente i pokreće ih.

Da biste pokrenuli svoj kod u jezgri u najnovijim verzijama sustava Windows operativni sustavi koji imaju pokretanje potpisa vozača, Slingshot učitava potpisane ranjive vozače i provodi vlastiti kod putem njihovog ranjivosti.

Nakon infekcije, Slingshot bi učitao brojne module na žrtvin uređaj, uključujući dva ogromna i snažna: Cahnadr, modul u obliku kernel-a i GollumApp, modul u korisničkom modu. Dva modula su spojena i mogu se međusobno podržavati prikupljanje podataka, upornost i pročišćavanje podataka.

Najsofisticiraniji modul je GollumApp. Ovo sadrži gotovo 1.500 funkcija korisničkog koda i pruža većinu gore opisanog routines for persistence, file system control, and C&Ckomunikacija.

Canhadr, također poznat kao NDriver, sadrži rutine niske razine za mreža, IO operacije i tako dalje. Njegov program u obliku kernela je u mogućnosti izvršiti zlonamjerni kod bez rušenja cijelog datotečnog sustava ili uzrokuje Plavi ekran – izvanredno postignuće. Napisana čistim C jezika, Canhadr / Ndriver pruža potpuni pristup tvrdom disku i radna memorija usprkos sigurnosnim ograničenjima uređaja, i [it] provodi kontrolu integriteta različitih komponenti sustava koje izbjegava uklanjanje pogrešaka i otkrivanje sigurnosti.

Istraživači su rekli da je Slingshot možda koristio druge metode, uključujući ranjivost koja nije nužna za širenje. Bilo je aktivno od najmanje 2012. i ostala je operativna do prošlog mjeseca. Mogućnost da takav cjeloviti dio zlonamjernog softvera ostane skrivena tako dugo jedna je od stvari koja je čini tako Napredna.

Jedan od načina na koji se Slingshot sakrio bila je upotreba an šifrirani virtualni datotečni sustav koji se obično nalazio u neiskorišteni dio tvrdog diska. Segregiranjem datoteka sa zlonamjernim softverom iz datotečnom sustavu zaraženih računala, Slingshot je mnogo stajao veće su šanse da antivirusni motori budu neotkriveni. drugo prikrivene tehnike uključuju šifriranje svih nizova teksta u svojim razne module, pozivanje sistemskih usluga izravno na zaobilaženje takozvane kuke koje koriste sigurnosni proizvodi i mogućnost zatvaranja dolje komponente prilikom utovara forenzičkih alata.

Čini se da je glavna svrha zlonamjernog softvera špijunaža. Analiza tvrtke Kaspersky Lab sugerirala je da se Slingshot koristio za evidentiranje aktivnost radne površine i međuspremnik te za prikupljanje snimaka zaslona, podaci o tipkovnici, mrežni podaci, lozinke i podaci o USB vezi. Mogućnost da Slingshot pristupi jezgri operacijskog sustava znači da je zlonamjerni softver imao pristup svim podacima pohranjenim na tvrdom disku ili u unutarnjoj memoriji zaražene mašine. Zaražena računala nalazila su se uglavnom u Keniji i Jemenu, ali također u Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somalija i Tanzanija. Čini se da je većina žrtava bila na meti pojedinaca. Neke su, pak, bile vladine organizacije i ustanove.

EnlargeKaspersky Lab

Poruke za uklanjanje pogrešaka napisane na savršenom engleskom jeziku sugeriraju da programeri su govorili tim jezikom. Kao što je tipično za laboratorij Kaspersky izvješća, izvješće u petak nije pokušalo identificirati programere tvrtke Slingshot osim što je rekao da je najvjerojatnije radio u ime nacionalna država.

“Slingshot je vrlo složen, a programeri iza njega imaju očito smo potrošili mnogo vremena i novca na njegovom stvaranju, ” napisali su istraživači tvrtke. “Njegov vektor zaraze je izvanredan – i, Koliko nam je poznato, jedinstveno “.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: