Quênia e Tanzânia entre os países visados pelo Slingshot; um malware potente que se escondeu por 6 anos e se espalhou por roteadores
De acordo com a empresa de segurança com sede em Moscou, a Kaspersky Lab, um malware Slingshot recentemente descoberto, mas relativamente antigo. É uma das plataformas de ataque mais avançadas que eles já descobriram. Todas as indicações parecem sugerir que o malware foi criado em nome de um país com bons recursos e para propósitos de espionagem.
A Kaspersky Lab diz que o nível de sofisticação usado na criação do malware Slingshot apenas rivaliza com os seguintes malwares, que também eram tão potentes que quebraram recordes com sua criatividade:
Projeto Sauron - Esse malware era muito potente e conseguiu se esconder do software de segurança por anos.
Verizon - um backdoor avançado que infectou a telecom belga Belgacom entre outros destinos de alto perfil.
Em um relatório de 25 páginas publicado pela última vez em Frida, pesquisadores da Kaspersky Lab escreveram:
' A descoberta do Slingshot revela outro ecossistema complexo, onde vários componentes trabalham juntos para fornecer uma plataforma de ciber-espionagem muito flexível e bem lubrificada. O malware é altamente avançado, resolvendo todos os tipos de problemas do ponto de vista técnico e geralmente de uma maneira muito elegante, combinando componentes mais antigos e mais novos em uma operação bem pensada e de longo prazo, algo que se espera de um bom fornecedor. ator com recursos ”.
Relacionado: A China secretamente instalou dispositivos para espionar os delegados da União Africana no complexo que projetou e construiu a partir do zero?
Como se espalha
Os pesquisadores dizem que ainda não se reduziram para estabelecer exatamente como exatamente o Slingshot infecta seus alvos. No entanto, em vários casos, parece que os operadores do Slingshot obtiveram acesso por meio de roteadores fabricados pelo fabricante letão MikroTik e foram adiante para implantar código malicioso nele.
Os detalhes sobre como infectar os roteadores MikroTik ainda não são conhecidos, mas parece que o Slingshot está usando o utilitário de configuração do roteador chamado Winbox para baixar arquivos da biblioteca de vínculo dinâmico do sistema de arquivos do roteador.
Um desses arquivos é ‘ ipv4.dll ', Um agente de download malicioso criado pelos desenvolvedores do malware. Em seguida, o Winbox transfere o ipv4.dll para os computadores de destino. Depois que um computador é infectado, o Winbox carrega ainda mais o ipv4.dll na memória do dispositivo e o executa.
Os pesquisadores afirmam ainda que o Slingshot oferece aos usuários outros métodos de disseminação, como vulnerabilidades de dia zero. Acredita-se que o malware tenha sido criado a partir de 2012 e esteja operacional até o mês passado, quando o software de segurança finalmente o obteve. O fato de ele ter conseguido se esconder do software de segurança antivírus e anti-malware por tanto tempo diz que foi uma criação de uma obra-prima de uma organização com bons recursos; algo típico de hackers apoiados pelo estado.
Deve ler: A Coréia do Norte tem hackeado países africanos e outros asiáticos há anos
Os pesquisadores também afirmam que o Slingshot poderia estar usando um sistema de arquivos virtual criptografado localizado em partes não utilizadas de um disco rígido para se esconder. O malware pode ter segregado arquivos de malware do sistema de arquivos do computador que foi infectado; tornando assim incrivelmente impossível que praticamente todos os mecanismos antivírus detectem sua presença.
Outras técnicas de furtividade possíveis que o malware poderia estar empregando poderiam ser criptografar todas as seqüências de texto em seus vários módulos e chamar os serviços do sistema diretamente para contornar todos os ganchos usados pelo software de segurança e até mesmo desligar o computador quando ferramentas forenses são carregadas o computador
Qual era o objetivo principal do Slingshot?
Os pesquisadores acreditam que esse malware é patrocinado pelo Estado para fins de espionagem. De acordo com a análise da Kaspersky Lab, o Slingshot foi usado para registrar a atividade da área de trabalho dos usuários, coletar capturas de tela, conteúdo da área de transferência, dados da rede, dados do teclado, dados da conexão USB e senhas.
A capacidade do Slingshot de acessar o kernel do sistema operacional significava que ele tinha acesso a todos e quaisquer dados armazenados na memória interna do seu computador. Kaspersky diz que a maioria dos computadores infectados estava localizada principalmente no Quênia e no Iêmen. Também havia traços dele na Tanzânia, Somália, Sudão, Iraque, Turquia, Jordânia, Congo, Líbia e Afeganistão.
Relacionado: Microsoft adverte empresas quenianas para enfrentar ameaças cibernéticas mais a sério
A maioria das vítimas parece ser individual, embora haja poucas incidências nos computadores infectados por malware nas organizações e instituições.
É uma criação de um estado de poder
As mensagens de depuração do malware foram escritas em inglês perfeito, o que parece sugerir que o desenvolvedor falava muito bem o idioma. A Kaspersky Lab, no entanto, não mencionou em que país suspeita patrocinou o malware ou identificou seu desenvolvedor, mas disseram com certeza que ele foi desenvolvido a pedido de uma nação poderosa.
' O Slingshot é muito complexo, e os desenvolvedores por trás dele gastaram claramente muito tempo e dinheiro em sua criação. Seu vetor de infecção é notável e, até onde sabemos, único ” escreveu a Kaspersky Lab em um relatório.