Slingshot: Špijun iz rutera

Opisi virusa, 13.03.2018, 10:00 AM

Slingshot: Špijun iz rutera

Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine. Malver koji je nazvan Slingshot napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel modu, čime se stiče kompletna kontrola nad uređajima žrtve. Prema tvrdnjama istraživača, mnoge tehnike koje su koristili oni koji stoje iza ovog malvera su jedinstvene i izuzetno efikasne kada je u pitanju tajno prikupljanje informacija, jer omogućavaju napadačima da prikriju svoj saobraćaj u označenim paketima podataka koje mogu svakodnevno presretati, a da pri tom ne ostave bilo kakav trag.

Operacija „Slingshot“ je otkrivena nakon što su istraživači otkrili keylogger program koji prati korisnikove unose preko tastature i kreirali svojevrsni znak prepoznavanja (behavioral detection signature), da bi videli da li se taj kod pojavljuje još negde. Ovo je pokrenulo proces detekcije, tokom kojeg se ispostavilo da se na zaraženom računaru unutar sistemskog foldera nalazi sumnjivi fajl scesrv.dll. Analiza ovog fajla je pokazala da, uprkos tome što izgleda legitimno, scesrv.dll sadrži maliciozni kod. Maliciozna biblioteka je učitana preko procesa services.exe koji ima sistemske privilegije, pa tako i napadači stiču iste privilegije. To je istraživače navelo na zaključak da su napadači našli način da uđu u samo srce računara.

Slingshot ima veoma neuobičajeni vektor napada. Većina žrtava je verovatno inficirana preko hakovanih rutera. Napadači su kompromitovali rutere i smestili u njih maliciozni dll, koji je downloader koji služi za preuzimanje drugih malicioznih komponenata sa interneta. Kada se administrator prijavi da bi konfigurisao ruter, softver za upravljanje preuzima i aktivira maliciozni modul na administratorovom računaru. Metod koji se koristi za inicijalno hakovanje rutera ostaje nepoznat.

Slingshot aktivira brojne module na žrtvinom uređaju, uključujući i dva moćna modula - Cahnadr i GollumApp. Ova dva modula su povezana i podržavaju jedan drugog u prikupljanju podataka, opstanku na sistemu i curenju podataka.

Cilj Slingshota je sajber špijunaža - on prikuplja screensshotove, unose preko tastature, podatke vezane za mrežu, USB konekcije, ostale aktivnosti sa desktopa, podatke iz clipboarda i drugo. Njegov pristup kernelu znači i da malver može da ukrade šta god poželi.

Malver koristi niz tehnika koje mu pomažu da ne bude otkriven.

Slingshot funkcioniše kao pasivni backdoor - ne sadrži adresu komandno-kontrolog servera (C&C) već je dobija od operatera. Slingshot uspostavlja enkriptovani kanal komunikacije sa C&C serverom, i počinje da šalje ukradene podatke.

Uzorci malvera koje su analizirali istraživači označeni su kao verzija 6.x, što znači da malver postoji već neko vreme. U malver je uloženo dosta vremena, veština i novca. Ovo navodi na zaključak da je grupa koja stoji iza Slingshota verovatno dobro organizovana, profesionalna i da je najverovatnije finansira neka država. Tragovi koji su pronađeni u kodu sugerišu da je u pitanju država engleskog govornog područja. Međutim, identifikacija krivaca je uvek teška, ako ne i nemoguća.

Istraživači su do sada identifikovali oko stotinu žrtava Slingshota i njegovih srodnih modula, koji su pronađeni u Keniji, Jemenu, Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji. Izgleda da su većina žrtava pojedinci a ne organizacije, iako je bilo i par državnih organizacija i institucija. U Keniji i Jemenu je do sada identifikovano najviše žrtava.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje