Spionul din Router! Sustrage informații în secret de pe calculator

by

Cercetătorii Kaspersky Lab au descoperit o amenințare complexă, folosită pentru spionaj

Multe dintre tehnicile folosite de această grupare sunt unice şi foarte eficiente în a aduna informaţii în secret, ascunzând traficul în pachete de date speciale, pe care le interceptează din comunicaţiile de zi cu zi, fără a lăsa nicio urmă.
Operaţiunea Slingshot a fost descoperită după ce cercetătorii au găsit un program de tip keylogger suspect şi au creat o semnătură de detecţie pe baza comportamentului, pentru a vedea dacă acel cod apărea în altă parte. Acest lucru a dus la o detecţie pe un computer infectat cu un fişier suspect, în folder-ul de sistem denumit scesrv.dll. Cercetătorii au investigat mai departe, iar analiza fişierului a arătat că, în ciuda faptului că părea legitim, modulul scesrv.dll conţinea cod malware. Din moment ce acesta e încărcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectată câştiga aceleaşi drepturi. Cercetătorii şi-au dat seama că un intrus profesionist reuşise să ajungă la elementele esenţiale ale computerului.
Cercetătorii au văzut că multe dintre victime păreau să fi fost infectate iniţial prin intermediul unor router-e compromise. Grupul din spatele Slingshot pare să compromită router-ele şi să plaseze în interior un link dinamic către o arhivă, care descarcă mai multe componente periculoase. Când un administrator se loghează pentru a configura router-ul, programul de management al router-ului descarcă şi rulează modulul malware pe computerul administratorului. Metoda folosită pentru a compromite iniţial router-ele rămâne necunoscută.
După infectare, Slingshot încarcă un număr de module pe dispozitivul victimei, inclusiv două foarte puternice: Cahnadr şi GollumApp. Cele două module sunt conectate şi capabile să se ajute unul pe altul în colectarea de informaţii, persistenţă şi sustragerea de date.
Scopul principal al Slingshot pare să fie spionajul cibernetic. Analiza sugerează că păstrează screenshots, date din tastatură, date de reţea, parole, conexiuni USB, date din clipboard şi multe altele, chiar dacă accesul său prin kernel înseamnă că poate fura orice doreşte.

Slingshot funcţionează ca un backdoor pasiv: nu are o adresă de comandă şi control (C&C) scrisă în hardcode, dar obţine una de la operator interceptând toate pachetele de reţea în modul kernel şi verificând dacă există două cuvinte cheie în header (două „constante magice”). Dacă acestea există, înseamnă că pachetul conţine şi adresa de C&C. Pentru pasul următor, Slingshot stabileşte un canal criptat de comunicare cu C&C şi începe să transmită date prin intermediul său.
Mostrele de malware investigate de cercetători au denumirea ‘versiunea 6.x’, ceea ce ne sugerează că ameninţarea există deja de ceva vreme. Perioada extinsă de dezvoltare, nivelul de complexitate şi costurile aferente creării setului de instrumente Slingshot demonstrează amploarea şi importanţa acestui proiect. Grupul din spatele Slingshot pare să fie extrem de bine organizat, specializat şi, probabil, sprijinit de către un stat. Indiciile textuale din cod sugerează că ar fi vorba de un grup vorbitor de limba engleză, Este dificil, dacă nu imposibil, să se determine cu exactitate identitatea grupului, fiind vorba de un proces de atribuire în care pot apărea manipulări şi erori.

Sursa : Capital

Leave a Comment