KASPERSKY LAB: "Slingshot: spionul care a venit din router"

Cercetătorii Kaspersky Lab au descoperit o ameninţare complexă, folosită pentru spionaj cibernetic în Orientul Mijlociu şi Africa, cel puţin din 2012, până în februarie 2018, se arată într-un comnicat al companiei, remis astăzi Redacţiei.

Conform documentului, programul malware, pe care cercetătorii l-au denumit "Slingshot", atacă şi infectează victimele prin intermediul unor router-e compromise şi poate funcţiona în modul "kernel", dând control total asupra dispozitivelor victimei. Cercetătorii Kaspersky afirmă că multe dintre tehnicile folosite de această grupare sunt unice şi foarte eficiente în a aduna informaţii în secret, ascunzând traficul în pachete de date speciale, pe care le interceptează din comunicaţiile de zi cu zi, fără a lăsa nicio urmă.

Operaţiunea Slingshot a fost descoperită după ce cercetătorii au găsit un program de tip keylogger suspect şi au creat o semnătură de detecţie pe baza comportamentului, pentru a vedea dacă acel cod apărea în altă parte. Acest lucru a dus la o detecţie pe un computer infectat cu un fişier suspect, în folder-ul de sistem denumit scesrv.dll. Cercetătorii au decis să investigheze mai departe, iar analiza fişierului a arătat că, în ciuda faptului că părea legitim, modulul scesrv.dll conţinea cod malware. Din moment ce acesta e încărcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectată câştiga aceleaşi drepturi. Cercetătorii şi-au dat seama că un intrus profesionist reuşise să ajungă la elementele esenţiale ale computerului.

În opinia analiştilor companiei IT, "Slingshot" iese în evidenţă prin vectorul său de atac neobişnuit. Pe măsură ce descopereau mai multe victime, cercetătorii au văzut că multe dintre ele păreau să fi fost infectate iniţial prin intermediul unor router-e compromise. În timpul acestor atacuri, grupul din spatele "Slingshot" pare să compromită router-ele şi să plaseze în interior un link dinamic către o arhivă, care descarcă mai multe componente periculoase. Atunci când un administrator se loghează pentru a configura router-ul, programul de management al router-ului descarcă şi rulează modulul malware pe computerul administratorului. Metoda folosită pentru a compromite iniţial router-ele rămâne necunoscută.

După infectare, "Slingshot" încarcă un număr de module pe dispozitivul victimei, inclusiv două foarte puternice: Cahnadr şi GollumApp. Cele două module sunt conectate şi capabile să se ajute unul pe altul în colectarea de informaţii, persistenţă şi sustragerea de date.

Potrivit sursei citate, scopul principal al "Slingshot" pare să fie spionajul cibernetic. Analiza sugerează că păstrează screenshots, date din tastatură, date de reţea, parole, conexiuni USB, date din clipboard şi multe altele, chiar dacă accesul său prin kernel înseamnă că poate fura orice doreşte.

Această ameninţare complexă şi persistentă încorporează, de asemenea, o serie de tehnici pentru evitarea detecţiei, inclusiv criptarea tuturor şirurilor de caractere în modulele sale, accesarea directă a serviciilor sistemului pentru a trece de tehnologiile de securitate, folosirea unor tehnici anti-debugging şi selectarea procesului care urmează să fie infectat, în funcţie de procesele soluţiilor de securitate instalate şi active şi de alţi parametri.

Mostrele de malware investigate de cercetători au denumirea "versiunea 6.x", ceea ce ne sugerează că ameninţarea există deja de ceva vreme. Perioada extinsă de dezvoltare, nivelul de complexitate şi costurile aferente creării setului de instrumente Slingshot demonstrează amploarea şi importanţa acestui proiect. Grupul din spatele "Slingshot" pare să fie extrem de bine organizat, specializat şi, probabil, sprijinit de către un stat. Indiciile textuale din cod sugerează că ar fi vorba de un grup vorbitor de limba engleză. Cu toate acestea, este dificil, dacă nu imposibil, să se determine cu exactitate identitatea grupului, fiind vorba de un proces de atribuire în care pot apărea manipulări şi erori.

Până acum, cercetătorii au găsit aproximativ 100 de victime ale "Slingshot" şi ale modulelor aferente în Kenya, Yemen, Afghanistan, Libia, Congo, Iordan, Turcia, Irak, Sudan, Somalia şi Tanzania. Majoritatea victimelor par să fie utilizatori individuali şi nu organizaţii, dar există şi câteva organizaţii şi instituţii guvernamentale care au fost afectate. Până acum, cele mai multe victime au fost din Kenya şi Yemen.

Alexey Shulmin, Lead Malware Analyst, Kaspersky Lab, afirmă: "Slingshot este o ameninţare complexă care utilizează o paletă extinsă de instrumente şi tehnici, inclusiv modul kernel, care până acum era identificat doar în cazul atacurilor avansate. Această funcţie este extrem de valoroasă şi profitabilă pentru atacatori, ceea ce ar putea explica faptul că ameninţarea are deja 6 ani de activitate".

Pentru a nu cădea pradă unui astfel de atac, specialiştii de la Kaspersky Lab recomandă implementarea următoarelor măsuri:

- Utilizatorii router-elor Mikrotik ar trebui să instaleze ultima versiune a software-ului cât de curând posibil pentru a asigura protecţia împotriva vulnerabilităţilor deja cunoscute. În plus, Mikrotik Winbox nu mai descarcă nimic din router în computerul utilizatorului.

- Folosiţi o soluţie de securitate de calibru corporate, împreună cu tehnologii anti atacuri direcţionate şi servicii de informaţii despre ameninţări, cum ar fi soluţia Kaspersky Threat Management and Defense. Acestea pot identifica şi bloca atacurile avansate cu ţintă precisă prin analizarea anomaliilor la nivel de reţea şi oferind echipelor de securitate cibernetică vizibilitate totală asupra reţelei şi automatizarea răspunsurilor.

- Oferiţi personalului de securitate IT acces la cele mai noi informaţii despre ameninţările cibernetice, care le vor furniza instrumente utile pentru prevenirea şi analiza atacurilor direcţionate. Astfel de instrumente sunt indicatorii de compromitere (IOC), regulile YARA şi rapoartele privind ameninţările complexe.

- Dacă identificaţi simptome timpurii ale unui atac direcţionat, vă sfătuim să luaţi în considerare serviciile de gestionare a securităţii care că vor permite să detectaţi din timp semnele ameninţărilor avansate, să reduceţi perioadele de inactivitate şi să răspundeţi în timp util la incidentele de securitate.