„Slingshot“: Špijun iz rutera

Istraživači kompanije Kaspersky Lab su otkrili sofisticiranu pretnju koja se koristila za sajber špijunažu na Bliskom istoku i Africi, u periodu od 2012. do februara 2018. godine. Malver, koji su istraživači nazvali „Slingshot“, napada i inficira žrtve preko kompromitovanih rutera, a može raditi i u kernel režimu rada (kernel mode), čime se stiče kompletna kontrola nad uređajima žrtve. Prema istraživačima, mnoge tehnike koje su koristili akteri pretnji su jedinstvene i izuzetno efikasne kada je u pitanju tajno prikupljanje informacija, tako što prikrivaju svoj saobraćaj u označenim paketima podataka koje mogu svakodnevno presretati, bez ostavljanja bilo kakvog traga.

Operacija „Slingshot“ je otkrivena nakon što su istraživači otkrili sumnjiv „keylogger” program koji prati korisnikove unose preko tastature i kreirali svojevrsni znak prepoznavanja (behavioral detection signature), kako bi videli da li se taj kod pojavljuje još negde. Ovo je pokrenulo proces detekcije, tokom koje se ispostavilo da je zaraženi računar sa sumnjivim fajlom unutar sistemskog foldera pod nazivom „scesrv.dll“. Istraživači su odlučili da nastave sa istragom. Analiza ovog fajla je pokazala da, uprkos tome što izgleda legitimno, modul „scesrv.dll“ sadrži maliciozni kod koji je ugrađen u njega. Kako je ova „biblioteka“ učitana preko ‘services.exe’, procesa koji ima sistemske privilegije, otrovana “biblioteka” je stekla iste privilegije. Istraživači su shvatili da je izuzetno napredni uljez pronašao način da uđe u samo srce računara.

Kaspersky

Najznačajnija stvar u vezi „Slingshot“-a je verovatno njegov neuobičajeni vektor napada. Kako su istraživači otkrivali nove žrtve, shvatili su da je većina verovatno inficirana preko hakovanih rutera. Tokom ovih napada, izgleda da je grupa koja stoji iza „Slingshot“-a, kompromitovala rutere i smestila u njih maliciozni dinamični link biblioteke, koji zapravo predstavlja način za skidanje drugih malicioznih komponenata sa interneta. Kada se administrator prijavi da bi konfigurisao ruter, softver za upravljanje skida i aktivira maliciozni modul na administratorovom računaru. Metod koji se koristi za inicijalno hakovanje rutera ostaje nepoznat.

Kaspersky

U daljem toku inficiranja, „Slingshot“ aktivira brojne module na žrtvinom uređaju, uključujući i dva velika i moćna: „Cahnadr“ i „GollumApp“. Ova dva modula su povezana, I imaju sposobnost da podržavaju jedan drugog u prikupljanju podataka, upornosti i curenju podataka.

Čini se da je sajber špijunaža glavna svrha „Slingshot“-a. Analize sugerišu da skuplja „skrinšotove“, podatke uzete sa tastature, podatke vezane za mrežu, USB konekcije, ostale aktivnosti sa desktopa, „klipboard“ podatke i drugo, iako njegov pristup jezgru (kernel access) znači i da može ukrasti šta god poželi.

Ova napredna i uporna pretnja takođe uključuje niz tehnika kao pomoć u izbegavanju detekcije: uključujući i eknripciju svih nizova u svojim modulima, čime se sistemske usluge direktno aktiviraju, kako bi se zaobišle bezbednosne zamke proizvoda, tako što se koriste brojne tehnike „anti debugging“-a, te biraju koji će proces ubaciti, u zavisnosti od instaliranih i aktivnih bezbednosnih procesa rešenja, i još toga.

„Slingshot“ funkcioniše kao pasivni „backdoor“: ne sadrži adresu komandi i kontrola (C&C) već je stiče preko operatera, tako što presreće sve mrežne pakete u modu jezgra i proverava da vidi da li su prisutne dve „teško kodirane“ magične konstante u zaglavlju. Ukoliko je ovo slučaj, to znači da paket sadrži C&C adresu. Nakon toga, „Slingshot“ uspostavlja enkriptovani kanal komunikacije sa komandama i kontrolama, i počinje da ovim putem prenosi podatke namenjene „curenju izvan“. Maliciozni uzorci koje su ispitali istraživači, označeni su kao „verzija 6.x“, kako bi se sugerisalo da pretnja postoji već neko vreme. Vreme razvijanja, veština i trošak koji su uloženi u kreiranje složenog seta alatki „Slingshot“-a mora da su bili izuzetno visoki. Uzevši zajedno, ovi tragovi sugerišu da je grupa koja stoji iza „Slingshot“-a verovatno dobro organizovana, profesionalna i da je najverovatnije finansira država. Tekstualni tragovi koji se nalaze u kodu, sugerišu da je u pitanju država engleskog govornog područja. Međutim, precizno pronalaženje krivaca je uvek teško, ako ne i nemoguće, i sve više podložno manipulaciji i greškama.

Istraživači su do sada uočili oko stotinu žrtava „Slingshot“-a i njegovih srodnih modula, koji su locirani u Keniji, Jemenu, Afganistanu, Libiji, Kongu, Jordanu, Turskoj, Iraku, Sudanu, Somaliji i Tanzaniji. Izgleda da su većina žrtava ciljane osobe a ne organizacije, iako je bilo i par državnih organizacija i institucija. U Keniji i Jemenu je do sada primećeno najviše žrtava. „’Slingshot’ predstavlja sofisticiranu pretnju koja koristi širok spektar alatki i tehnika, uključujući i modul rada u jezgru, koje su do sada primećene samo kod najsofisticiranijih predatora. Funkcionalnost je od izuzetnog značaja za napadače jer je vrlo profitabilna, što može objasniti i zašto je aktivna već šest godina“, rekao je Aleksej Šulmin (Alexey Shulmin), vodeći analitičar malvera u kompaniji Kaspersky Lab. Svi proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju ovu pretnju. Kako bi izbegli da budete žrtva ovakvog napada, istraživači kompanije Kaspersky Lab vam preporučuju preduzimanje sledećih mera:

  • Korisnici „Mikrotik“ rutera bi trebalo da se nadograde na najnoviju verziju softvera što pre, kako bi se osigurala zaštita od poznatih ranjivosti.

  • Koristite provereno bezbednosno rešenje za kompanije u kombinaciji sa tehnologijama za „anti-target“ napade i podatke o obaveštajnim pretnjama, poput rešenja Kaspersky Threat Management and Defense. Ova rešenja uočavaju i „hvataju“ napredne ciljane napade tako što analiziraju anomalije na mreži i pružaju sajber bezbednosnim timovima potpunu vidljivost mreže i automatizaciju odgovora.

  • Pružaju bezbednosnom osoblju pristup najskorijim podacima vezanim za bezbednosne pretnje koje će ih naoružati korisnim alatkama za istragu o ciljanim napadima i njihovoj prevenciji, poput indikatora kompromisa (IOC), alatki servisa YARA (za istraživanje i detekciju malvera), kao i prilagođenim sistemom prijavljivanja naprednih pretnji;

  • Ukoliko spazite rane znake ciljanog napada, razmotrite usluge upravljanja zaštitom koje će vam omogućiti da proaktivno detektujete napredne pretnje, smanjite vreme reagovanja (dwell time) i podesite vreme odgovora na incident.