Keenia ja Tansaania Slingshoti sihtrühma kuuluvate riikide seas; tugev pahavara, mis varjas 6 aastat ja levis ruuterite kaudu

Kenya and Tanzania among countries targeted by Slingshot

Moskvas asuva turvaettevõtte Kaspersky Lab sõnul on tegemist äsja avastatud, kuid suhteliselt vana pahavaraga Slingshot. See on üks arenenumaid rünnakuplatvorme, mida nad kunagi avastanud on. Kõik märgid näivad viitavat sellele, et pahavara loodi hästi ressurssidega riigi nimel ja spionaaži eesmärgil.

Kaspersky Lab väidab, et Slingshot pahavara loomisel peetud keerukus ainult konkureerib järgmise pahavaraga, mis oli samuti nii tugev, et purustas oma leidlikkusega rekordid:



Projekt Sauron - See pahavara oli väga tugev ja suutis aastaid turvatarkvara eest varjata.

Verizon - arenenud tagauks, mis nakatas Belgia kõrgetasemeliste sihtrühmade hulgas ka Belgia telekommunikatsiooni Belgacomi.

Eelmisel reedel avaldatud 25-leheküljelises aruandes kirjutasid Kaspersky Labi teadlased:



'Slingshot'i avastus paljastab veel ühe keeruka ökosüsteemi, kus mitmed komponendid töötavad koos, et pakkuda väga paindlikku ja hästi õlitatud küberspionaaži platvormi. Pahavara on kõrgelt arenenud, lahendades igasuguseid probleeme tehnilisest vaatenurgast ja sageli väga elegantsel viisil, ühendades vanemad ja uuemad komponendid põhjalikult läbimõeldud ja pikaajalise töö käigus, mida on oodata tipptasemel hästi toimivalt - ressurssidega näitleja. ”

Seotud: Kas Hiina paigaldas salaja Aafrika Liidu delegaatide pealtkuulamiseks seadmeid selle projekteeritud ja maapinnast ehitatud kompleksi?

Kuidas see levib?

Teadlased väidavad, et nad pole veel jõudnud teha järeldusi, kuidas täpselt Slingshot oma sihtmärke esialgu nakatab. Kuid paljudel juhtudel näib, et Slingshoti operaatorid said ligipääsu Läti tootja MikroTiku tehtud ruuterite kaudu ja siirdasid sinna pahatahtlikku koodi.



Spetsiifikat MikroTiku ruuterite nakatamise kohta pole veel teada, kuid näib, et Slingshot kasutab ruuteri failisüsteemist dünaamiliste linkide teegi failide allalaadimiseks ruuteri konfiguratsiooniutiliiti Winbox.

parim linux os mängudeks

Üks neist failidest onipv4.dll”, Pahavara arendajate loodud pahatahtlik allalaadimisagent. Seejärel kannab Winbox ipv4.dll sihitud arvutitesse. Kui arvuti on nakatunud, laadib Winbox ipv4.dll seadme mällu ja käivitab selle.Kenya and Tanzania among countries targeted by Slingshot

Teadlased väidavad, et Slingshot kasutab teisi levitamismeetodeid, näiteks nullpäeva haavatavusi. Arvatakse, et pahavara on loodud juba 2012. aastast alates ja on töötanud kuni eelmise kuuni, mil turvatarkvara selle lõpuks tasaarveldas. Fakt, et tal on nii kaua õnnestunud end viirusetõrje ja pahavaravastase turvatarkvara eest varjata, ütleb, et see oli hästi ressurssidega organisatsiooni meistriteos; midagi tüüpilist riigi toetatud häkkeritele.Kenya and Tanzania among countries targeted by Slingshot



Peab lugema: Põhja-Korea on aastaid häkkinud Aafrika ja teisi Aasia riike

Teadlased väidavad ka, et Slingshot võis kasutada enda varjamiseks krüptitud virtuaalset failisüsteemi, mis asub kõvaketta kasutamata osades. Pahavara võis eraldada pahavarafailid nakatunud arvuti failisüsteemist; muutes seega praktiliselt kõigil viirusetõrjemootoritel selle olemasolu tuvastamise uskumatult võimatuks.



Muud võimalikud varjatud tehnikad, mida pahavara oleks võinud kasutada, võiksid olla selle mitmekordsete moodulite kõigi tekstistringide krüpteerimine ja süsteemiteenuste helistamine otse turvatarkvara kasutatavatest konksudest ümbersõitmiseks ja isegi kohtuistungite laadimisel väljalülitamine. arvuti.

Mis oli Slingshoti peamine eesmärk?

Teadlaste hinnangul on see pahavara spionaaži eesmärgil riigi rahastatav. Kaspersky Labi analüüsi kohaselt kasutati Slingshot kasutajate töölaua tegevuste logimiseks, ekraanipiltide, lõikelaua sisu, võrguandmete, klaviatuuri andmete, USB-ühenduse andmete ja paroolide kogumiseks.

Slingshoti juurdepääs OS-i tuumale tähendas, et tal oli juurdepääs kõigile teie arvuti sisemällu salvestatud andmetele. Kaspersky sõnul asus suurem osa nakatunud arvutitest peamiselt Keenias ja Jeemenis. Selle jälgi oli ka Tansaanias, Somaalias, Sudaanis, Iraagis, Türgis, Jordaanias, Kongos, Liibüas ja Afganistanis.Kenya and Tanzania among countries targeted by Slingshot

Seotud: Microsoft hoiatab Keenia ettevõtteid võtma küberohte tõsisemalt

Tundub, et suurem osa ohvritest on üksikisikud, kuigi pahavaraga nakatunud arvutites on organisatsioonides ja asutustes vähe juhtumeid.

See on ühe osariigi looming

Pahavara silumissõnumid olid kirjutatud täiuslikus inglise keeles, mis näib viitavat sellele, et arendaja rääkis keelt väga hästi. Kaspersky Lab ei maininud aga, millises riigis ta kahtlustab pahavara sponsoreerimist ega tuvastanud selle arendajat, kuid nad ütlesid kindlalt, et see töötati välja vägeva rahva soovil.

'Slingshot on väga keeruline ja selle taga olevad arendajad on selle loomiseks selgelt kulutanud palju aega ja raha. Selle nakkusvektor on tähelepanuväärne ja meie teadmiste kohaselt ainulaadne, ” kirjutas Kaspersky Lab aruandes.