Kenya og Tanzania blant land som er målrettet av Slingshot; en potent malware som gjemte seg i 6 år og spredte seg via rutere

Kenya and Tanzania among countries targeted by Slingshot

I følge det Moskva-baserte sikkerhetsfirmaet Kaspersky Lab, et nyoppdaget, men relativt gammelt malware Slingshot. Det er en av de mest avanserte angrepsplattformene de noen gang har oppdaget. Alle indikasjoner ser ut til å antyde at skadelig programvare ble opprettet på vegne av et land med ressurser og for spionasje.

Kaspersky Lab sier nivået av sofistikering som gikk ut på å lage Slingshot-malware bare konkurrerer med følgende skadelig programvare som også var så potent at de brakk rekorder med sin oppfinnsomhet:



Prosjekt Sauron - Denne malware var veldig potent og klarte å gjemme seg bort fra sikkerhetsprogramvare i årevis.

Verizon - en avansert bakdør som smittet det belgiske telekom Belgacom blant andre høyprofilerte mål.

I en 25-siders rapport publisert forrige Frida, skrev forskere ved Kaspersky Lab:



'Oppdagelsen av Slingshot avslører et annet komplekst økosystem der flere komponenter fungerer sammen for å gi en veldig fleksibel og velsmurt cyber-spionasjeplattform. Den skadelige programvaren er svært avansert, og løser alle slags problemer fra et teknisk perspektiv og ofte på en veldig elegant måte, og kombinerer eldre og nyere komponenter i en grundig gjennomtenkt, langsiktig operasjon, noe du kan forvente av en førsteklasses brønn- ressursaktør. ”

Beslektet: Installerte Kina i hemmelighet enheter for å avlyse delegater fra Den afrikanske union på komplekset det designet og bygde fra grunnen av?

Hvordan det sprer seg

Forskerne sier de ennå ikke har snevret inn for å fastslå nøyaktig hvordan Slingshot opprinnelig smitter sine mål. I flere tilfeller ser det imidlertid ut til at Slingshot-operatørene fikk tilgang gjennom rutere laget av den latviske produsenten MikroTik og gikk videre for å implantere ondsinnet kode i den.



Spesifikasjonene om hvordan den infiserer MikroTik-rutere er fortsatt ikke kjent ennå, men det ser ut til at Slingshot bruker ruteren konfigurasjonsverktøy kalt Winbox for å laste ned dynamiske koblingsbibliotekfiler fra ruteren sitt filsystem.

beste linux os for spill

En av disse filene er ‘ipv4.dll', En ondsinnet nedlastingsagent opprettet av utviklere av skadelig programvare. Deretter overfører Winbox ipv4.dll til de målrettede datamaskinene. Når en datamaskin er infisert, laster Winbox ytterligere ipv4.dll i enhetens minne og kjører den.Kenya and Tanzania among countries targeted by Slingshot

Forskerne hevder videre at Slingshot viderefører andre metoder for å spre, for eksempel null-dagers sårbarheter. Det antas at malware er opprettet fra allerede i 2012 og har vært i drift fram til forrige måned da sikkerhetsprogramvare endelig nettet det. At det har klart å gjemme seg for antivirus- og anti-malware sikkerhetsprogramvare så lenge, sier at det var et mesterverkskaper av en organisasjon med god ressurs; noe typisk for statsstøttede hackere.Kenya and Tanzania among countries targeted by Slingshot

Må lese: Nord-Korea har hacket afrikanske og andre asiatiske land i årevis

Forskerne hevder også at Slingshot kunne ha brukt et kryptert virtuelt filsystem som ligger i ubrukte deler av en harddisk for å skjule seg selv. Den skadelige programvaren kunne ha separert malware-filer fra filsystemet til datamaskinen den har infisert; noe som gjør det utrolig umulig for praktisk talt alle antivirusmotorer å oppdage sin tilstedeværelse.

Andre mulige stealth-teknikker som malware kunne ha brukt, kan være å kryptere alle tekststrenger i flere moduler, og ringe systemtjenester direkte for å omgå alle kroker som brukes av sikkerhetsprogramvaren og til og med gå så langt som å slå seg av når rettsmedisinske verktøy lastes på datamaskinen.

Hva var hovedformålet med Slingshot?

Forskere mener at denne skadelig programvaren er statlig sponset for spionasje. I følge analysen fra Kaspersky Lab ble Slingshot brukt til å logge brukernes skrivebordsaktivitet, samle skjermbilder, utklippstavleinnhold, nettverksdata, tastaturdata, USB-tilkoblingsdata og passord.

Slingshots mulighet til å få tilgang til OS-kjernen betydde at den hadde tilgang til alle data som er lagret i datamaskinens interne minne. Kaspersky sier at de fleste av de infiserte datamaskinene først og fremst var lokalisert i Kenya og Yemen. Det var også spor etter det i Tanzania, Somalia, Sudan, Irak, Tyrkia, Jordan, Kongo, Libya og Afghanistan.Kenya and Tanzania among countries targeted by Slingshot

Relatert: Microsoft advarer kenyanske bedrifter om å ta opp cybertrusler mer alvorlig

Majoriteten av ofrene ser ut til å være individer, selv om det er få tilfeller der malware-infiserte datamaskiner i organisasjoner og institusjoner.

Det er en skapelse av en mektig stat

Debugmeldingene til skadelig programvare ble skrevet på perfekt engelsk, noe som ser ut til å antyde at utvikleren snakket språket veldig godt. Kaspersky Lab nevnte imidlertid ikke hvilket land den mistenker sponset skadelig programvare eller identifiserte utvikleren, men de sa med sikkerhet at den ble utviklet etter anledning av en mektig nasjon.

'Slingshot er veldig sammensatt, og utviklerne bak det har helt klart brukt mye tid og penger på opprettelsen. Infeksjonsvektoren er bemerkelsesverdig, og etter vår kunnskap unik, ' skrev Kaspersky Lab i en rapport.