Szkodnik, któremu badacze nadali nazwę „Slingshot”, atakuje ofiary za pośrednictwem zainfekowanych routerów i może działać w trybie jądra, co zapewnia mu pełną kontrolę nad urządzeniami. Według badaczy przestępcy zastosowali zaawansowane techniki, a atak jest niezwykle skuteczny pod względem ukradkowego gromadzenia informacji, ukrywania swojego ruchu i przechwytywania danych bez pozostawiania śladów w codziennej komunikacji.
Operacja Slingshot została wykryta po tym, jak badacze znaleźli podejrzany program przechwytujący znaki wprowadzane z klawiatury (tzw. keylogger) i stworzyli sygnaturę wykrywania na podstawie zachowania, aby sprawdzić, czy kod ten pojawił się gdzieś indziej. Sygnatura wygenerowała wykrycie na komputerze z podejrzanym plikiem wewnątrz foldera systemowego o nazwie scesrv.dll. Z analizy pliku wynika, że chociaż wygląda on na legalny moduł scesrv.dll, wewnątrz kryje osadzony szkodliwy kod. Ponieważ biblioteka ta jest ładowana przez proces, który posiada przywileje systemowe (services.exe) — zatruta biblioteka uzyskuje te same uprawnienia.
Najbardziej niezwykłym aspektem dotyczącym ataku Slingshot jest prawdopodobnie jego nietypowy wektor ataków. Po zidentyfikowaniu kolejnych ofiar badacze odkryli, że wiele z nich zostało zainfekowanych za pośrednictwem zhakowanych routerów. Podczas tych ataków ugrupowanie odpowiedzialne za Slingshot prawdopodobnie włamało się do tych urządzeń sieciowych i umieściło wewnątrz szkodliwą bibliotekę, która stanowi w rzeczywistości narzędzie pobierające inne szkodliwe komponenty. Metoda wykorzystana do włamywania się do routerów pozostaje nieznana.
Po zainfekowaniu Slingshot ładuje wiele modułów na urządzeniu ofiary, w tym dwa duże i złożone: Cahnadr oraz GollumApp. Te dwa moduły są połączone ze sobą i mogą wspomagać się w zakresie gromadzenia danych, utrzymania swojej obecności oraz wyprowadzania informacji.
Głównym celem kampanii Slingshot wydaje się być cyberszpiegostwo. Z analizy wynika, że w ramach operacji gromadzone są zrzuty ekranu, dane wprowadzane z klawiatury, dane sieciowe, hasła, połączenia USB, dane ze schowka itd. Mając dostęp do systemu z uprawnieniami administratora, atakujący mogą ukraść wszystko, czego potrzebują.
W ramach kampanii Slingshot zastosowano również wiele technik, które pomagały atakującym uniknąć wykrycia: w tym szyfrowanie wszystkich ciągów we własnych modułach, bezpośrednie wywoływanie usług systemowych w celu obejścia produktów bezpieczeństwa, wykorzystywanie różnych technik uniemożliwiających debugowanie czy wybór procesu do wstrzyknięcia w zależności od zainstalowanych i uruchomionych procesów rozwiązań bezpieczeństwa.
Slingshot działa jak pasywny backdoor: nie posiada zakodowanego na stałe adresu serwera kontroli, ale uzyskuje go od operatora poprzez przechwytywanie wszystkich pakietów sieciowych w trybie jądra i sprawdzanie, czy w nagłówku znajdują się dwie „magiczne” informacje. Jeśli tak, oznacza to, że pakiet zawiera adres serwera cyberprzestępczego. Następnie Slingshot ustanawia szyfrowany kanał komunikacji z centrum kontroli i zaczyna przesyłać dane.
Zbadane przez ekspertów szkodliwe próbki były oznaczone jako „wersja 6.x”, co może sugerować, że zagrożenie istnieje dość długo. Czas poświęcony na stworzenie złożonego zestawu narzędzi Slingshot, jak również niezbędne umiejętności i koszty, były prawdopodobnie znaczące. To wszystko sugeruje, że stojące za Slingshot ugrupowanie jest prawdopodobnie wysoce zorganizowane i profesjonalne i najprawdopodobniej sponsorowane przez rząd. Wskazówki tekstowe w kodzie sugerują, że jego autorami są osoby angielskojęzyczne. Jednakże dokładne przypisanie autorstwa jest zawsze trudne, jeśli nie niemożliwe, i coraz bardziej podatne na manipulację oraz błędy.
Jak dotąd badacze zidentyfikowali około 100 ofiar kampanii Slingshot i związanych z nią modułów, zlokalizowanych w Kenii, Jemenie, Afganistanie, Libii, Kongo, Jordanii, Turcji, Iraku, Sudanie, Somalii oraz Tanzanii. Większość ofiar to osoby fizyczne. Można jednak wyróżnić kilka organizacji rządowych oraz instytucji. Większość zidentyfikowanych dotychczas ofiar znajduje się w Kenia oraz Jemenie.
Slingshot to wyrafinowane zagrożenie stosujące szeroki wachlarz narzędzi i technik, w tym moduły działające głęboko w systemie, które jak dotąd zidentyfikowano tylko w najbardziej zaawansowanych kampaniach cyberprzestępczych. Funkcjonalność ta jest bardzo cenna i dochodowa dla atakujących, co może tłumaczyć, dlaczego istnieje od co najmniej sześciu lat – powiedział Aleksiej Szulmin, czołowy analityk szkodliwego oprogramowania, Kaspersky Lab.
Wszystkie produkty Kaspersky Lab skutecznie wykrywają i blokują omawiane zagrożenie.
Zalecenia bezpieczeństwa
- Użytkownicy routerów Mikrotik powinni możliwie jak najszybciej uaktualnić ich oprogramowanie do najnowszej wersji, aby zapewnić sobie ochronę przed znanymi lukami w zabezpieczeniach.
- Należy stosować sprawdzone rozwiązanie bezpieczeństwa klasy korporacyjnej w połączeniu z technologiami ochrony przed atakami ukierunkowanymi oraz danymi analitycznymi dotyczącymi zagrożeń. Przykładem tego rodzaju zabezpieczenia jest rozwiązanie Kaspersky Threat Management and Defense, które potrafi identyfikować i przechwytywać zaawansowane ataki ukierunkowane poprzez analizowanie anomalii sieciowych oraz zapewnianie zespołom ds. cyberbezpieczeństwa możliwości szybkiego reagowania.
- Należy zapewnić personelowi bezpieczeństwa dostęp do najnowszych danych analitycznych dotyczących zagrożeń, które wyposażą go w pomocne narzędzia do badania i zapobiegania atakom ukierunkowanym, takie jak oznaki infekcji (IOC), reguły YARA oraz zindywidualizowane raportowanie o zaawansowanych zagrożeniach.
- Jeśli zostaną zauważone wczesne oznaki ataku ukierunkowanego, należy rozważyć skorzystanie z usługi ochrony zarządzanej, które pozwolą proaktywnie wykrywać zaawansowane zagrożenia, ograniczyć czas ich rezydowania w systemie oraz zapewnić reakcję na incydent w odpowiednim czasie.
Szczegóły techniczne dotyczące kampanii Slingshot są dostępne na stronie https://r.kaspersky.pl/1IIcc.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.