facebook
ACTUALITATE

Cercetatorii Kaspersky Lab: Hackerii iti pot transforma routerul din casa intr-un spion prin care afla orice faci!

Cercetătorii Kaspersky Lab au descoperit o amenințare complexă, folosită pentru spionaj cibernetic în Orientul Mijlociu și Africa, cel puțin din 2012, până în februarie 2018. Programul malware, pe care cercetătorii l-au denumit “Slingshot”, atacă și infectează victimele prin intermediul unor router-e compromise și poate funcționa în modul “kernel”, dând control total asupra dispozitivelor victimei.

Potrivit cercetătorilor, multe dintre tehnicile folosite de această grupare sunt unice şi foarte eficiente în a aduna informaţii în secret, ascunzând traficul în pachete de date speciale, pe care le interceptează din comunicaţiile de zi cu zi, fără a lăsa nicio urmă.

Operaţiunea Slingshot a fost descoperită după ce cercetătorii au găsit un program de tip keylogger suspect şi au creat o semnătură de detecţie pe baza comportamentului, pentru a vedea dacă acel cod apărea în altă parte. Acest lucru a dus la o detecţie pe un computer infectat cu un fişier suspect, în folder-ul de sistem denumit scesrv.dll. Cercetătorii au decis să investigheze mai departe, iar analiza fişierului a arătat că, în ciuda faptului că părea legitim, modulul scesrv.dll conţinea cod malware. Din moment ce acesta e încărcat cu ajutorul scesrv.dll, un proces care are privilegii de sistem, arhiva infectată câştiga aceleaşi drepturi. Cercetătorii şi-au dat seama că un intrus profesionist reuşise să ajungă la elementele esenţiale ale computerului.

Slingshot iese în evidenţă prin vectorul său de atac neobişnuit. Pe măsură ce descopereau mai multe victime, cercetătorii au văzut că multe dintre ele păreau să fi fost infectate iniţial prin intermediul unor router-e compromise. În timpul acestor atacuri, grupul din spatele Slingshot pare să compromită router-ele şi să plaseze în interior un link dinamic către o arhivă, care descarcă mai multe componente periculoase. Atunci când un administrator se loghează pentru a configura router-ul, programul de management al router-ului descarcă şi rulează modulul malware pe computerul administratorului. Metoda folosită pentru a compromite iniţial router-ele rămâne necunoscută.

După infectare, Slingshot încarcă un număr de module pe dispozitivul victimei, inclusiv două foarte puternice: Cahnadr şi GollumApp. Cele două module sunt conectate şi capabile să se ajute unul pe altul în colectarea de informaţii, persistenţă şi sustragerea de date.

Scopul principal al Slingshot pare să fie spionajul cibernetic. Analiza sugerează că păstrează screenshots, date din tastatură, date de reţea, parole, conexiuni USB, date din clipboard şi multe altele, chiar dacă accesul său prin kernel înseamnă că poate fura orice doreşte.

Această ameninţare complexă şi persistentă încorporează, de asemenea, o serie de tehnici pentru evitarea detecţiei, inclusiv criptarea tuturor şirurilor de caractere în modulele sale, accesarea directă a serviciilor sistemului pentru a trece de tehnologiile de securitate, folosirea unor tehnici anti-debugging şi selectarea procesului care urmează să fie infectat, în funcţie de procesele soluţiilor de securitate instalate şi active şi de alţi parametri.

Slingshot funcţionează ca un backdoor pasiv: nu are o adresă de comandă şi control (C&C) scrisă în hardcode, dar obţine una de la operator interceptând toate pachetele de reţea în modul kernel şi verificând dacă există două cuvinte cheie în header (două „constante magice”). Dacă acestea există, înseamnă că pachetul conţine şi adresa de C&C. Pentru pasul următor, Slingshot stabileşte un canal criptat de comunicare cu C&C şi începe să transmită date prin intermediul său.

Mostrele de malware investigate de cercetători au denumirea ‘versiunea 6.x’, ceea ce ne sugerează că ameninţarea există deja de ceva vreme. Perioada extinsă de dezvoltare, nivelul de complexitate şi costurile aferente creării setului de instrumente Slingshot demonstrează amploarea şi importanţa acestui proiect. Grupul din spatele Slingshot pare să fie extrem de bine organizat, specializat şi, probabil, sprijinit de către un stat. Indiciile textuale din cod sugerează că ar fi vorba de un grup vorbitor de limba engleză. Cu toate acestea, este dificil, dacă nu imposibil, să se determine cu exactitate identitatea grupului, fiind vorba de un proces de atribuire în care pot apărea manipulări şi erori.
Sursa: Capital.ro

Share Page

Close