Közérdekű információ

Hat éve kémkedik a Slingshot trójai

A kiberkémkedési célokkal kifejlesztett Slingshot trójai terjedését feltört routerek segítik.
A kártékony program régóta, észrevétlenül fertőzi a számítógépeket. Az eddig napvilágra került információk szerint már 2012-ben is létezett egy variánsa, ami azóta csak tovább fejlődött. Minél több áldozatot azonosítottak a kutatók, annál inkább az derült ki, hogy a Slingshot terjesztésében meghackelt routerek is szerepet kapnak.
Az eddigi támadások során a károkozó mögött álló bűnözői csoport routereket tört fel azért, hogy elhelyezzen bennük egy rosszindulatú kódot a további ártalmas modulok letöltéséhez. Amikor a felhasználó vagy a rendszergazda bejelentkezett, hogy konfigurálja az adott routert, akkor a készülék kezelőszoftvere letöltötte, és futtatta a rosszindulatú modult. Az eddigi vizsgálatok szerint a kártékony program elsősorban Mikrotik routereken keresztül terjedt.

Középpontban az adatlopás

A kutatók megállapították, hogy egy fertőzést követően a Slingshot további modulokat szerez be. Ezek elsősorban adatgyűjtésben, adatlopásban jutnak szerephez. Ez persze nem meglepő, hiszen a kártevő fő célja egyértelműen a kiberkémkedés. Az elemzések szerint képernyőképeket ment le, naplózza a billentyűleütéseket, monitorozza a hálózati adatforgalmat, és összegyűjti a jelszavakat, a vágólap tartalmát, valamint a felhasználói tevékenységekre utaló adatokat.

A kifinomult kibercsapda számos olyan technikát alkalmaz, amely segít számára a detektáló mechanizmusok átejtésében: titkosítja a moduljait, közvetlenül éri el a rendszerszolgáltatásokat, illetve anti-debugging módszereket használ.

A Slingshot fejlesztési ideje és összetettsége azt sugallja, hogy az előállításának költségei igen magasak voltak. Ez arra utal, hogy a kártevő mögött álló csoport szervezett és professzionális, de az sem kizárt, hogy valamely állam állhat a háttérben.

A kutatók mindeddig 100 áldozatot azonosítottak, többnyire Afrika északi országaiban, de elszórva a Közel-Keleten is. Az áldozatok zöme magánszemély volt, de van köztük kormányzati szervezet is.

"A Slingshot egy kifinomult fenyegetés, amely számos eszközzel és módszerrel rendelkezik, amelyeket eddig csak a legfejlettebb kibercsapdáknál láthattunk" - mondta Alexey Shulmin, a Kaspersky Lab vezető víruskutatója.

A biztonsági cég a Mikrotik routerek frissítésére, valamint a naprakész biztonság alkalmazások használatának fontosságára hívta fel a figyelmet.

Forrás