Kenija ir Tanzanija tarp šalių, kurias nukreipė Slingshot; galinga kenkėjiška programa, kuri slėpėsi 6 metus ir plito per maršrutizatorius

Kenya and Tanzania among countries targeted by Slingshot

Anot Maskvoje įsikūrusios saugos firmos „Kaspersky Lab“, naujai atrastos, bet palyginti senos kenkėjiškos programos „Slingshot“. Tai viena pažangiausių išpuolių platformų, kokią jie kada nors atrado. Visi požymiai rodo, kad kenkėjiška programinė įranga buvo sukurta šalies, kuriai reikalingi ištekliai, vardu ir šnipinėti.

„Kaspersky Lab“ sako, kad rafinuotumo lygis, kuris kilo kuriant „Slingshot“ kenkėjišką programinę įrangą, konkuruoja tik su šiomis kenkėjiškomis programomis, kurios taip pat buvo tokios stiprios, kad dėl savo išradingumo sulaužė įrašus:

Projektas „Sauron“ - Ši kenkėjiška programa buvo labai stipri ir daugelį metų sugebėjo paslėpti nuo saugos programinės įrangos.

„Verizon“ - pažangiausias užpakalis užkrėtė Belgijos telekomunikacijų bendrovę „Belgacom“ tarp kitų svarbių tikslų.

Praėjusioje Frida paskelbtoje 25 puslapių ataskaitoje „Kaspersky Lab“ tyrėjai rašė:

'„Slingshot“ atradimas atskleidžia dar vieną sudėtingą ekosistemą, kurioje keli komponentai veikia kartu, kad būtų sukurta labai lanksti ir gerai sutepta elektroninio šnipinėjimo platforma. Kenkėjiška programinė įranga yra labai pažangi, išsprendžianti įvairiausias problemas iš techninės perspektyvos ir dažnai labai elegantiškai, derindama senesnius ir naujesnius komponentus kruopščiai apgalvotame ir ilgalaikiame veikime, ko tikėtis iš aukščiausio lygio, aprūpintas aktorius. “

Susijusi: Ar Kinija slaptai įrengė įrenginius, kad galėtų išklausyti Afrikos Sąjungos atstovus, komplekse, kurį ji suprojektavo ir pastatė nuo pat pradžių?

Kaip plinta

Tyrėjai sako, kad dar nesusiaurėjo ir nustatė, kaip tiksliai Slingshot iš pradžių užkrečia savo taikinius. Tačiau kai kuriais atvejais atrodo, kad „Slingshot“ operatoriai turėjo prieigą per Latvijos gamintojo „MikroTik“ sukurtus maršrutizatorius ir ėmėsi į jį implantuoti kenkėjišką kodą.

Konkreti informacija apie tai, kaip jis užkrečia „MikroTik“ maršrutizatorius, vis dar nežinoma, tačiau panašu, kad „Slingshot“ naudoja maršrutizatoriaus konfigūravimo įrankį, vadinamą „Winbox“, norėdama atsisiųsti dinaminių nuorodų bibliotekos failus iš maršrutizatoriaus failų sistemos.

Vienas iš šių failų yra „ipv4.dll“, Kenkėjiškų programų kūrėjų sukurtas kenkėjiškas atsisiuntimo agentas. Tada „Winbox“ perduoda ipv4.dll į tikslinius kompiuterius. Kai kompiuteris užkrėstas, „Winbox“ toliau įkelia „ipv4.dll“ į įrenginio atmintį ir jį paleidžia.Kenya and Tanzania among countries targeted by Slingshot

Tyrėjai taip pat teigia, kad „Slingshot“ toliau naudoja kitus metodus, tokius kaip nulinės dienos pažeidžiamumas. Manoma, kad kenkėjiška programinė įranga buvo sukurta nuo 2012 m. Ir veikė iki praėjusio mėnesio, kai saugos programinė įranga ją galutinai išlygino. Tai, kad ji taip ilgai sugebėjo paslėpti nuo antivirusinės ir apsaugos nuo kenkėjiškų programų, sako, kad tai buvo šedevras, kurį sukūrė gerai aprūpinta organizacija; kažkas būdingo valstybės remiamiems įsilaužėliams.Kenya and Tanzania among countries targeted by Slingshot

Privalu perskaityti: Šiaurės Korėja metų metus atakuoja Afrikos ir kitas Azijos šalis

Tyrėjai taip pat tvirtina, kad „Slingshot“ galėjo paslėpti virtualią failų sistemą, esančią nenaudotose kietojo disko dalyse. Kenkėjiška programinė įranga galėjo atskirti kenkėjiškų programų failus nuo užkrėsto kompiuterio failų sistemos; taigi praktiškai visiems antivirusiniams varikliams neįmanoma nustatyti jo buvimo.

Kiti galimi slaptos būdai, kuriuos galėjo naudoti kenkėjiška programinė įranga, galėtų būti šifruojami visi jo kelių modulių tekstiniai įrašai ir skambučiai sistemos tarnyboms tiesiogiai apeiti visus saugos programinės įrangos naudojamus kabliukus ir netgi išjungti, kai įkeltos teismo medicinos priemonės. kompiuteris.

Koks buvo pagrindinis „Slingshot“ tikslas?

Tyrėjai mano, kad ši kenkėjiška programa yra valstybės remiama šnipinėjimo tikslais. Remiantis „Kaspersky Lab“ atlikta analize, „Slingshot“ buvo naudojama vartotojų darbalaukio veiklai registruoti, ekrano kopijoms, mainų srities turiniui, tinklo duomenims, klaviatūros duomenims, USB jungties duomenims ir slaptažodžiams rinkti.

„Slingshot“ galimybė pasiekti OS branduolį reiškė, kad ji turėjo prieigą prie visų duomenų, saugomų jūsų kompiuterio vidinėje atmintyje. Kaspersky sako, kad dauguma užkrėstų kompiuterių pirmiausia buvo Kenijoje ir Jemene. Taip pat jo pėdsakų buvo Tanzanijoje, Somalyje, Sudane, Irake, Turkijoje, Jordanijoje, Konge, Libijoje ir Afganistane.Kenya and Tanzania among countries targeted by Slingshot

Susiję: „Microsoft“ įspėja Kenijos įmones rimčiau atsižvelgti į kibernetines grėsmes

Atrodo, kad dauguma aukų yra asmenys, nors nedaug atvejų, kai organizacijose ir įstaigose yra kenkėjiškų programų užkrėsti kompiuteriai.

Tai yra galingos valstybės kūrinys

Kenkėjiškų programų derinimo pranešimai buvo parašyti tobula anglų kalba, kuri, atrodo, rodo, kad kūrėjas labai gerai kalbėjo ta kalba. Vis dėlto „Kaspersky Lab“ neminėjo, kuri šalis, jos manymu, remia kenkėjišką programinę įrangą ar nenustatė jos kūrėjo, tačiau jie tvirtino, kad ji buvo sukurta galingos tautos pavedimu.

'„Slingshot“ yra labai sudėtingas, o jo kūrėjai aiškiai sukūrė daug laiko ir pinigų jo sukūrimui. Jo užkrato pernešėjas yra puikus ir, kiek mums žinoma, unikalus “ rašė „Kaspersky Lab“ pranešime.