Slingshot, un virus periculos folosit pentru spionaj. revine în routere

- Adrian Ungureanu
411

Slingshot un program malware periculos descoperit de Kaspersky în 2012, folosit pentru spionaj cibernetic în Orientul Mijlociu și Africa, a fost din nou descoperit în routere.

Programul malware, pe care cercetătorii l-au denumit “Slingshot”, atacă și infectează victimele prin intermediul unor routere compromise și poate funcționa în modul “kernel”, dând control total asupra dispozitivelor victimei.

Potrivit unui comunicat al furnizorului de soluții de securitate IT, multe dintre tehnicile folosite de această grupare sunt unice și foarte eficiente în a aduna informații în secret, ascunzând traficul în pachete de date speciale, pe care le interceptează din comunicațiile de zi cu zi, fără a lăsa nicio urmă.

Slingshot iese în evidență prin vectorul său de atac neobișnuit. Pe măsură ce descopereau mai multe victime, cercetătorii au văzut că multe dintre ele păreau să fi fost infectate inițial prin intermediul unor router-e compromise.

În timpul acestor atacuri, grupul din spatele Slingshot pare să compromită router-ele și să plaseze în interior un link dinamic către o arhivă, care descarcă mai multe componente periculoase. Atunci când un administrator se loghează pentru a configura routerul, programul de management al router-ului descarcă și rulează modulul malware pe computerul administratorului. Metoda folosită pentru a compromite inițial router-ele rămâne necunoscută.

După infectare, Slingshot încarcă un număr de module pe dispozitivul victimei, inclusiv două foarte puternice: Cahnadr și GollumApp. Cele două module sunt conectate și capabile să se ajute unul pe altul în colectarea de informații, persistență și sustragerea de date.

Scopul principal al Slingshot pare să fie spionajul cibernetic. Analiza sugerează că păstrează screenshots, date din tastatură, date de rețea, parole, conexiuni USB, date din clipboard și multe altele, chiar dacă accesul său prin kernel înseamnă că poate fura orice dorește.

Pentru a nu cădea pradă unui astfel de atac, specialiștii de la Kaspersky Lab recomandă implementarea următoarelor măsuri:
• Utilizatorii routerelor Mikrotik ar trebui să instaleze ultima versiune a software-ului cât de curând posibil pentru a asigura protecția împotriva vulnerabilităților deja cunoscute. În plus, Mikrotik Winbox nu mai descarcă nimic din router în computerul utilizatorului.
• Folosiți o soluție de securitate de calibru corporate, împreună cu tehnologii anti atacuri direcționate și servicii de informații despre amenințări, cum ar fi soluția Kaspersky Threat Management and Defense. Acestea pot identifica și bloca atacurile avansate cu țintă precisă prin analizarea anomaliilor la nivel de rețea și oferind echipelor de securitate cibernetică vizibilitate totală asupra rețelei și automatizarea răspunsurilor.
• Oferiți personalului de securitate IT acces la cele mai noi informații despre amenințările cibernetice, care le vor furniza instrumente utile pentru prevenirea și analiza atacurilor direcționate. Astfel de instrumente sunt indicatorii de compromitere (IOC), regulile YARA și rapoartele privind amenințările complexe.
• Dacă identificați simptome timpurii ale unui atac direcționat, vă sfătuim să luați în considerare serviciile de gestionare a securității care că vor permite să detectați din timp semnele amenințărilor avansate, să reduceți perioadele de inactivitate și să răspundeți în timp util la incidentele de securitate.