Неизвестные хакеры заражают маршрутизаторы шпионским ПО Slingshot

Адрес документа: http://lib.itsec.ru/newstext.php?news_id=121864

Неизвестные хакеры заражают маршрутизаторы шпионским ПО Slingshot


12.03.2018



Исследователи безопасности из "Лаборатории Касперского"  выявили опасную хакерскую группировку, незаметно работающую по меньшей мере с 2012 года. Хакеры использовали сложное вредоносное ПО Slingshot для заражения сотен тысяч маршрутизаторов на Ближнем Востоке и в Африке.

 Согласно отчету экспертов, группировка эксплуатирует неизвестные уязвимости в маршрутизаторах от латвийского поставщика сетевого оборудования Mikrotik, скрытно устанавливая свое шпионское ПО на компьютеры жертв.

 До конца неясно, как именно хакерам удалось скомпрометировать маршрутизаторы, однако исследователи указали на утекший эксплоит ЦРУ США ChimayRed, опубликованный WikiLeaks в рамках проекта Vault 7.

 Взломав маршрутизатор, злоумышленники заменяют одну из DDL-библиотек вредоносной, загружая ее непосредственно в память компьютера жертвы при запуске программного обеспечения Winbox Loader.

 Таким образом, вредоносная DLL-библиотека запускается на целевом компьютере и подключается к удаленному серверу для загрузки конечной полезной нагрузки, а именно вредоносной программы Slingshot.

 Вредонос включает в себя два модуля: Cahnadr (модуль режима ядра) и GollumApp (модуль пользовательского режима), предназначенные для сбора информации, сохранении присутствия на системе и хищения данных.

 Модуль Cahnadr, также известный как NDriver, имеет функции анти-отладки, руткита и анализа трафика, установки других модулей и пр.

 "Написанный на языке программирования C, Canhadr/Ndriver обеспечивает полный доступ к жесткому диску и оперативной памяти, несмотря на ограничения безопасности устройства, и выполняет контроль целостности различных компонентов системы, чтобы избежать обнаружения решениями безопасности", - отметили эксперты.

 В свою очередь GollumApp представляет собой сложный модуль, обладающий широким спектром шпионских функций, которые позволяют злоумышленникам делать снимки экрана, собирать информацию о сети, похищать сохраненные в web-браузерах пароли, считывать нажатия клавиш и поддерживать связь с удаленными C&C-серверами.

 Поскольку GollumApp работает в режиме ядра и может также запускать новые процессы с привилегиями SYSTEM, вредоносное ПО дает злоумышленникам полный контроль над зараженными системами.

 Проанализировав сложные методы, используемые хакерами и список их жертв, исследователи пришли к выводу, что данная группировка является англоязычной и скорее всего связана с правительством какой-либо страны.

 Жертвами хакеров стали отдельные лица и ряд правительственных организаций в различных странах, включая Кению, Йемен, Ливию, Афганистан, Ирак, Танзанию, Иорданию, Маврикий, Сомали, Демократическую Республику Конго, Турцию, Судан и Объединенные Арабские Эмираты.

 Winbox Loader - инструмент управления, разработанный Mikrotik для пользователей Windows для легкой настройки маршрутизаторов. Программа загружает некоторые DLL-библиотеки с маршрутизатора и исполняет их в системе.

 

Securitylab


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100