Οι ερευνητές στο Kaspersky Labs έχουν ανακαλύψει ένα κακόβουλο λογισμικό, που ονομάστηκε Slingshot, το οποίο κατάφερνε να ξεφεύγει για περίπου έξι χρόνια. Ενώ ο ακριβής αριθμός δεν είναι γνωστός, το κακόβουλο λογισμικό έχει μολύνει περίπου 100 χρήστες σε διαφορετικές χώρες που βρίσκονται στην Αφρική και τη Μέση Ανατολή.
Το Slingshot πιστεύεται ότι είναι ενεργό από το 2012 έως το Φεβρουάριο του 2018. Πρόκειται για ένα εξαιρετικά εξελιγμένο εργαλείο κατασκοπείας στον κυβερνοχώρο που συνδυάζει τις γνωστές πλατφόρμες Project Sauron και Regin.
Ένας από τους τρόπους με τους οποίους μπορεί να μολύνει τα μηχανήματα των Windows είναι μέσω των δρομολογητών MikroTik και του λογισμικού διαχείρισής τους που ονομάζεται Winbox Loader. Οι ερευνητές περιλαμβάνουν επίσης τις δυνατότητες προσβολής του θύματος μέσω εκμετάλλευσης των Windows.
Το Slingshot πρώτα μολύνει το router και στη συνέχεια φορτώνει δυο ισχυρές μονάδες που ονομάζονται Cahnadr (module mode kernel mode) και GollumApp (λειτουργική μονάδα χρήστη) στον υπολογιστή του θύματος. Μετά από αυτό, το εργαλείο κυβερνο-κατασκοπείας μπορεί να συλλέξει διάφορες πληροφορίες, όπως συνδέσεις USB, πληκτρολόγιο, δεδομένα πρόχειρου, δεδομένα δικτύου, στιγμιότυπα οθόνης, κωδικούς πρόσβασης κ.λπ.
Ενδεχομένως, με τη δυνατότητα λειτουργίας πυρήνα, οι εισβολείς που βρίσκονται πίσω από το Slingshot μπορούν να ελέγξουν πλήρως τον υπολογιστή του θύματος.
“Δεν υπάρχουν περιορισμοί και καμία προστασία για τον χρήστη (ή τουλάχιστον καμία που το κακόβουλο λογισμικό δεν μπορεί εύκολα να παρακάμψει)”, έγραψαν οι ερευνητές.
Σύμφωνα με τους ερευνητές, η ανάπτυξη του κακόβουλου λογισμικού ίσως συνεπάγεται υψηλό κόστος και ικανότητες, λαμβάνοντας υπόψη πόσο προηγμένο και ισχυρό είναι. Ο κώδικας του Slingshot υποδηλώνει ότι οι προγραμματιστές του μιλούν αγγλική γλώσσα και πιστεύεται ότι κάποια οργανωμένη ομάδα χάκερ υποστηρίζει το κακόβουλο λογισμικό.
Το Slingshot διαθέτει δικό του κρυπτογραφημένο σύστημα αρχείων. Μπορεί να απενεργοποιήσει τη δυνατότητα ανασυγκρότησης δίσκου στο λειτουργικό σύστημα των Windows για να αποτρέψει τη μετεγκατάσταση των δεδομένων που είναι αποθηκευμένα από το Slingshot στο σκληρό δίσκο.
Η MikroTik παράσχει τις περιορισμένες πληροφορίες που έχουν οι ερευνητές σχετικά με το κακόβουλο λογισμικό. Οι ενδιαφερόμενοι χρήστες καλούνται να ενημερώσουν το υλικολογισμικό του δρομολογητή τους στην πιο πρόσφατη έκδοση. Ενδεχομένως είναι πιθανό το Slingshot να έχει μολύνει τους χρήστες με άλλους δρομολογητές.
0 Post a Comment:
Δημοσίευση σχολίου