Исследователи обнаружили новую угрозу, связанную с кибершпионажем. Данный зловред, нареченный ими Slingshot, заражает роутеры и использует их как трамплин для атак на компьютеры в сети.

Выступая в пятницу на саммите специалистов по ИБ (SAS), эксперты “Лаборатории Касперского” раскрыли подробности шпионской кампании, в ходе которой в период как минимум с 2012 года по февраль 2018-го пострадали порядка 100 индивидуальных пользователей и организаций стран Ближнего Востока и Африки.

По словам аналитика Алексея Шульмина, Slingshot является сложной угрозой, использующей широкий спектр инструментов и техник, в том числе несколько модулей режима ядра. “В прошлом году мы обнаружили новую комплексную, многокомпонентную APT-угрозу — один из сложнейших фреймворков”, — заявил эксперт.

По словам докладчиков Шульмина и Сергея Юнаковского, Slingshot отличает использование необычного вектора атаки. Злоумышленники заражают машины жертв через скомпрометированные роутеры производства MikroTik, внедряя в них dll, которая работает как загрузчик других вредоносных компонентов.

“Когда администратор осуществляет вход, чтобы настроить роутер, программа управления роутером загружает и исполняет вредоносный модуль на машине администратора, — поясняют эксперты. — Каким образом взламываются роутеры, пока неизвестно”.

Из дополнительных модулей, которые Slingshot загружает на зараженную машину, исследователи выделили два наиболее сложных: Cahnadr и GollumApp. Они взаимосвязаны и могут помогать друг другу в сборе информации.

GollumApp работает в режиме пользователя и более сложен; со слов экспертов, он умеет выполнять порядка 1,5 тыс. функций и в большой мере отвечает за обеспечение постоянного присутствия, контроль файловой системы и C&C-коммуникации.

Canhadr, он же NDriver, работает в режиме ядра, обеспечивая полный доступ к жесткому диску и виртуальной памяти в обход штатной защиты. Примечательно, что этот модуль способен выполнять вредоносный код, не вызывая крэш файловой системы или “синий экран смерти”.

Как выяснилось, новая угроза весьма умело скрывает свою активность по сбору и выводу данных через обычные сетевые каналы. “Основным назначением Slingshot, по всей видимости, является кибершпионаж, — пишут исследователи. — Анализ показал, что он собирает скриншоты, клавиатурный ввод, сетевые данные, пароли, информацию о USB-подключениях и прочей десктоп-активности, содержимое буфера обмена и многое другое, хотя доступ уровня ядра в принципе позволяет красть все, что угодно”.

Slingshot-FAQ

Жертвы Slingshot — по большей части отдельные граждане, однако случаи заражения были также обнаружены в правительственных структурах и ведомствах. Хотя виновниками многих заражений являются роутеры MikroTik с устаревшей прошивкой, исследователи не исключают возможность существования других векторов атаки.

Подвергнутые анализу образцы Slingshot были помечены как “версия 6.х”, то есть этот проект существует довольно давно. По мнению экспертов, изрядное время, потраченное на данную разработку, большая сложность и высокое качество этого инструмента могут свидетельствовать о том, что за ним стоит очень умелая и, возможно, спонсируемая государством группа.

Некоторые техники, используемые Slingshot, роднят его с вредоносной платформой GrayFish, используемой группировкой Equation, а также с парой инструментов APT-группы Lamberts — White Lambert и Grey Lambert. Тем не менее, исследователи пока не спешат с определением принадлежности новой находки: это дело непростое, к тому же злоумышленники зачастую манипулируют индикаторами атаки, стараясь направить аналитиков по ложному следу.

 

Категории: Аналитика, Вредоносные программы, Хакеры