Slingshot: Špijun iz rutera

Opisi virusa, 13.03.2018, 10:00 AM

Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine. Malver koji je nazvan Slingshot napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel modu, čime se stiče kompletna kontrola nad uređajima žrtve. Prema tvrdnjama istraživača, mnoge tehnike koje su koristili oni koji stoje iza ovog malvera su jedinstvene i izuzetno efikasne kada je u pitanju tajno prikupljanje informacija, jer omogućavaju napadačima da prikriju svoj saobraćaj u označenim paketima podataka koje mogu svakodnevno presretati, a da pri tom ne ostave bilo kakav trag.

Operacija „Slingshot“ je otkrivena nakon što su istraživači otkrili keylogger program koji prati korisnikove unose preko tastature i kreirali svojevrsni znak prepoznavanja (behavioral detection signature), da bi videli da li se taj kod pojavljuje još negde. Ovo je pokrenulo proces detekcije, tokom kojeg se ispostavilo da se na zaraženom računaru unutar sistemskog foldera nalazi sumnjivi fajl scesrv.dll. Analiza ovog fajla je pokazala da, uprkos tome što izgleda legitimno, scesrv.dll sadrži maliciozni kod. Maliciozna biblioteka je učitana preko procesa services.exe koji ima sistemske privilegije, pa tako i napadači stiču iste privilegije. To je istraživače navelo na zaključak da su napadači našli način da uđu u samo srce računara.

Slingshot ima veoma neuobičajeni vektor napada. Većina žrtava je verovatno inficirana preko hakovanih rutera. Napadači su kompromitovali rutere i smestili u njih maliciozni dll, koji je downloader koji služi za preuzimanje drugih malicioznih komponenata sa interneta. Kada se administrator prijavi da bi konfigurisao ruter, softver za upravljanje preuzima i aktivira maliciozni modul na administratorovom računaru. Metod koji se koristi za inicijalno hakovanje rutera ostaje nepoznat.

Slingshot aktivira brojne module na žrtvinom uređaju, uključujući i dva moćna modula - Cahnadr i GollumApp. Ova dva modula su povezana i podržavaju jedan drugog u prikupljanju podataka, opstanku na sistemu i curenju podataka.

Cilj Slingshota je sajber špijunaža - on prikuplja screensshotove, unose preko tastature, podatke vezane za mrežu, USB konekcije, ostale aktivnosti sa desktopa, podatke iz clipboarda i drugo. Njegov pristup kernelu znači i da malver može da ukrade šta god poželi.

Malver koristi niz tehnika koje mu pomažu da ne bude otkriven.

Slingshot funkcioniše kao pasivni backdoor - ne sadrži adresu komandno-kontrolog servera (C&C) već je dobija od operatera. Slingshot uspostavlja enkriptovani kanal komunikacije sa C&C serverom, i počinje da šalje ukradene podatke.

Uzorci malvera koje su analizirali istraživači označeni su kao verzija 6.x, što znači da malver postoji već neko vreme. U malver je uloženo dosta vremena, veština i novca. Ovo navodi na zaključak da je grupa koja stoji iza Slingshota verovatno dobro organizovana, profesionalna i da je najverovatnije finansira neka država. Tragovi koji su pronađeni u kodu sugerišu da je u pitanju država engleskog govornog područja. Međutim, identifikacija krivaca je uvek teška, ako ne i nemoguća.

Istraživači su do sada identifikovali oko stotinu žrtava Slingshota i njegovih srodnih modula, koji su pronađeni u Keniji, Jemenu, Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji. Izgleda da su većina žrtava pojedinci a ne organizacije, iako je bilo i par državnih organizacija i institucija. U Keniji i Jemenu je do sada identifikovano najviše žrtava.