Keňa a Tanzanie mezi zeměmi zaměřenými na Slingshot; silný malware, který se skrýval 6 let a šířil se přes směrovače

Kenya and Tanzania among countries targeted by Slingshot

Podle moskevské bezpečnostní společnosti Kaspersky Lab je nově objevený, ale relativně starý malware Slingshot. Je to jedna z nejpokročilejších útočných platforem, jaké kdy objevili. Zdá se, že všechny náznaky naznačují, že malware byl vytvořen jménem dobře vybavené země a pro účely špionáže.

Společnost Kaspersky Lab říká, že úroveň sofistikovanosti, která šla do vytváření malwaru Slingshot, soupeří pouze s následujícím malwarem, který byl také tak silný, že zlomil záznamy svou vynalézavostí:





Projekt Sauron - Tento malware byl velmi účinný a roky se mu podařilo skrýt se před bezpečnostním softwarem.

Verizon - pokročilé backdoor, které napadlo belgický telekomunikační Belgacom mimo jiné vysoce postavené cíle.

Ve 25stránkové zprávě zveřejněné poslední Fridu vědci společnosti Kaspersky Lab napsali:



'Objev Slingshot odhaluje další složitý ekosystém, ve kterém více složek spolupracuje, aby poskytly velmi flexibilní a dobře naolejovanou platformu kybernetické špionáže. Malware je vysoce pokročilý, řeší všechny druhy problémů z technického hlediska a často velmi elegantním způsobem, kombinuje starší a novější komponenty v důkladně promyšlené, dlouhodobé operaci, což lze očekávat od prvotřídní studny - zdrojový herec. “

Související: Nainstalovala Čína tajně zařízení k odposlouchávání delegátům Africké unie v komplexu, který navrhl a postavil od základů?

Jak se šíří

Vědci tvrdí, že se ještě nezúžili, aby zjistili, jak přesně Slingshot zpočátku infikuje své cíle. V několika případech se však zdá, že operátoři Slingshot získali přístup prostřednictvím směrovačů vyrobených lotyšským výrobcem MikroTikem a do něj vložili škodlivý kód.



Podrobnosti o tom, jak infikuje směrovače MikroTik, dosud nejsou známy, ale zdá se, že Slingshot používá konfigurační nástroj routeru s názvem Winbox ke stahování souborů dynamických knihoven odkazů ze systému souborů routeru.

nejlepší linux OS pro hry

Jedním z těchto souborů je ‘ipv4.dll“, Agent pro stahování škodlivého softwaru vytvořený vývojáři malwaru. Poté Winbox převede ipv4.dll do cílených počítačů. Jakmile je počítač infikován, Winbox dále načte ipv4.dll do paměti zařízení a provede jej.Kenya and Tanzania among countries targeted by Slingshot

Vědci dále tvrdí, Slingshot další uživatelé dalších metod šíření, jako jsou zranitelnosti v den nuly. Předpokládá se, že malware byl vytvořen již v roce 2012 a je funkční až do minulého měsíce, kdy jej bezpečnostní software konečně propojil. Skutečnost, že se podařilo skrýt před antivirovým a antispywarovým zabezpečovacím softwarem tak dlouho, říká, že se jednalo o mistrovské dílo dobře fungující organizace; něco typického pro státem podporované hackery.Kenya and Tanzania among countries targeted by Slingshot



Je nutné si přečíst: Severní Korea již léta hackuje africké a jiné asijské země

Vědci také tvrdí, že Slingshot mohl používat skrytý virtuální systém souborů umístěný v nepoužitých částech pevného disku. Malware mohl oddělovat soubory malwaru od systému souborů počítače, který infikoval; prakticky všechny antivirové moduly tak detekují jeho přítomnost neuvěřitelně.



Dalšími možnými stealth technikami, které mohl malware používat, by mohlo být šifrování všech textových řetězců v jeho více modulech a volání systémových služeb přímo k obcházení všech háčků používaných bezpečnostním softwarem a dokonce až k vypnutí až po načtení forenzních nástrojů na počítač.

Jaký byl hlavní účel Slingshot?

Vědci se domnívají, že tento malware je sponzorován státem za účelem špionáže. Podle analýzy společnosti Kaspersky Lab byl Slingshot použit k protokolování aktivity uživatelů na ploše, sběru screenshotů, obsahu schránky, síťových dat, dat z klávesnice, dat USB připojení a hesel.

Schopnost Slingshot přistupovat k jádru OS znamenala, že měl přístup ke všem a všem datům uloženým ve vnitřní paměti vašeho počítače. Kaspersky říká, že většina infikovaných počítačů byla primárně umístěna v Keni a Jemenu. Byly tam také stopy v Tanzanii, Somálsku, Súdánu, Iráku, Turecku, Jordánsku, Kongu, Libyi a Afghánistánu.Kenya and Tanzania among countries targeted by Slingshot

Související: Microsoft varuje keňské podniky, aby vážněji přijaly počítačové hrozby

Většina obětí se jeví jako jednotlivci, i když v organizacích a institucích existuje málo případů, kdy počítače napadené malwarem.

Je to výtvor možného státu

Ladicí zprávy malwaru byly napsány v perfektní angličtině, což naznačuje, že vývojář mluvil jazykem velmi dobře. Kaspersky Lab však nezmínil, ve které zemi má podezření, že tento software sponzoroval, nebo neidentifikoval jeho vývojáře, ale s jistotou říkali, že byl vyvinut na příkaz mocného národa.

'Prak je velmi složitý a vývojáři za ním jasně utratili spoustu času a peněz za jeho vytvoření. Jeho infekční vektor je pozoruhodný a podle našich nejlepších znalostí jedinečný, “ napsal Kaspersky Lab do zprávy.