Kenya och Tanzania bland länder riktade av Slingshot; en potent skadlig programvara som gömde sig i 6 år och spridits via routrar

Kenya and Tanzania among countries targeted by Slingshot

Enligt det Moskva-baserade säkerhetsföretaget Kaspersky Lab, en nyupptäckt men relativt gammal skadlig slingshot. Det är en av de mest avancerade attackplattformarna som de någonsin har upptäckt. Alla indikationer tycks antyda att skadlig programvara skapades på uppdrag av ett välutrustat land och för spioneringsändamål.

Kaspersky Lab säger att den sofistikerade nivån för att skapa Slingshot-skadlig programvara bara konkurrerar med följande skadlig programvara som också var så potent att de bröt rekord med sin uppfinningsrikedom:



Projekt Sauron - Det här skadliga programmet var mycket potent och lyckades gömma sig från säkerhetsprogramvara i flera år.

Verizon - en avancerad bakdörr som infekterade det belgiska telekom Belgacom bland andra högprofilerade mål.

I en 25-sidars rapport publicerad förra Frida skrev forskare vid Kaspersky Lab:

' Upptäckten av Slingshot avslöjar ett annat komplext ekosystem där flera komponenter arbetar tillsammans för att ge en mycket flexibel och väl oljad cyber-spionage-plattform. Malware är mycket avancerad, löser alla typer av problem ur ett tekniskt perspektiv och ofta på ett mycket elegant sätt, och kombinerar äldre och nyare komponenter i en genomtänkt, långsiktig operation, något att förvänta sig av en förstklassig brunn- skådespelare. ”

Relaterat: Har Kina i hemlighet installerat enheter för att lyssna på Afrikanska unionens delegater på det komplex som det designade och byggde från grunden?

Hur det sprider sig

Forskarna säger att de ännu inte har minskat för att fastställa hur exakt Slingshot initialt infekterar dess mål. Men i flera fall verkar det som om Slingshot-operatörerna fick åtkomst genom routrar som gjorts av den lettiska tillverkaren MikroTik och fortsatte med att implantera skadlig kod i den.

Specifikationerna för hur det infekterar MikroTik-routrar är fortfarande ännu inte känt, men det verkar som om Slingshot använder routerns konfigurationsverktyg som heter Winbox för att ladda ner dynamiska länkbiblioteksfiler från routerns filsystem.

En av dessa filer är ' ipv4.dll ', En skadlig nedladdningsagent skapad av skadlig kodens utvecklare. Sedan överför Winbox ipv4.dll till de inriktade datorerna. När en dator har infekterats laddar Winbox ytterligare ipv4.dll i enhetens minne och kör den. Kenya and Tanzania among countries targeted by Slingshot

Forskarna hävdar vidare att Slingshot ytterligare använder andra metoder för att sprida, till exempel nolldagars sårbarheter. Den skadliga skadan antas ha skapats redan 2012 och har varit i drift fram till förra månaden när säkerhetsprogramvaran slutligen nättade den. Det faktum att det har lyckats gömma sig från antivirus- och anti-malware säkerhetsprogramvara så länge säger att det var ett mästerverk som skapades av en organisation med väl resurser. något som är typiskt för statstödda hackare. Kenya and Tanzania among countries targeted by Slingshot

Måste läsa: Nordkorea har hackat afrikanska länder och andra asiatiska länder i flera år

Forskarna hävdar också att Slingshot kunde ha använt ett krypterat virtuellt filsystem som ligger i oanvända delar av en hårddisk för att dölja sig själv. Skadlig skadlig kod kunde ha segregerat skadliga filer från filsystemet på datorn som den har infekterat; vilket gör det otroligt omöjligt för praktiskt taget alla antivirusmotorer att upptäcka dess närvaro.

Andra möjliga stealth-tekniker som skadlig kod skulle ha använt kan vara att kryptera alla textsträngar i dess flera moduler och ringa systemtjänster direkt för att kringgå alla krokar som används av säkerhetsprogramvaran och till och med gå så långt som att stänga av när kriminaltekniska verktyg laddas på datorn.

Vad var det främsta syftet med Slingshot?

Forskare tror att skadlig programvara är statligt sponsrad för spionage. Enligt analysen från Kaspersky Lab användes Slingshot för att logga användarens skrivbordsaktivitet, samla skärmdumpar, klippbordets innehåll, nätverksdata, tangentbordsdata, USB-anslutningsdata och lösenord.

Slingshots förmåga att få åtkomst till OS-kärnan innebar att den hade tillgång till all data lagrad i din dators interna minne. Kaspersky säger att de flesta av de infekterade datorerna främst låg i Kenya och Yemen. Det fanns också spår av det i Tanzania, Somalia, Sudan, Irak, Turkiet, Jordanien, Kongo, Libyen och Afghanistan. Kenya and Tanzania among countries targeted by Slingshot

Relaterat: Microsoft varnar kenyanska företag att ta upp cyberhot mer allvarligt

Majoriteten av offren verkar vara individer, även om det finns få fall där de skadliga-infekterade datorerna i organisationer och institutioner.

Det är en skapelse av en mäktig stat

Den skadliga meddelanden om skadlig kod har skrivits på perfekt engelska, vilket tyder på att utvecklaren talade språket mycket bra. Kaspersky Lab nämnde emellertid inte vilket land det misstänker sponsrade skadlig programvara eller identifiera dess utvecklare, men de säger säkert att det var utvecklat på begäran av en mäktig nation.

' Slingshot är väldigt komplex, och utvecklarna bakom det har tydligt spenderat mycket tid och pengar på skapandet. Dess infektionsvektor är anmärkningsvärd, och så vitt vi vet, unik, ” skrev Kaspersky Lab i en rapport.