2024.március.29. péntek.

EUROASTRA – az Internet Magazin

Független válaszkeresők és oknyomozók írásai

Routeren keresztül támad a kiberkém — A fejlett kibercsapda 6 éven keresztül kémlelt áldozatai után

4 perc olvasás

image_1.pngA Kaspersky Lab kutatói nemrég olyan kifinomult kibercsapdát azonosítottak, amelyet főként kiberkémkedésre használtak a Közel-Keleten és Afrikában 2012-től idén februárig. A malware, amelyet a kutatók „Slingshot”-nak neveztek el, meghekkelt routereken keresztül támadta és fertőzte áldozatait, teljes kontrollal az áldozatok készülékei felett. A kutatók szerint a kibercsapda számos egyedi és kellően hatékony technikát használt ahhoz, hogy képes legyen az ellopott adatok összesítésére. Arra is képes, hogy az adatforgalmát elrejtse és ezáltal nem nyomon követhetővé váljon.

A Slingshot működését akkor észlelték, amikor a kutatók gyanús keylogger programot találtak. A detektáláshoz a szakemberek egy viselkedés alapú azonosító aláírást használtak, majd figyelték annak felbukkanását. Ez az aláírás elvezetett egy olyan gyanús fájlhoz, amelyet egy megtámadott számítógépen a scesrv.dll nevű rendszermappában tároltak. A fájl elemzése azt mutatta, hogy a fájl rosszindulatú, annak ellenére, hogy legálisnak tűnt. Mivel ezt a „könyvtárt” hajtja a services.exe program, ezért a megtámadott „könyvtár” ugyanolyan jogosultságokat szerzett. A kutatók rájöttek, hogy egy nagyon fejlett betolakodó került a számítógép rendszermagjába.

 A legérdekesebb tény a Slingshotról valószínűleg a szokatlan támadási kiindulópontja. Minél több áldozatot azonosítottak a kutatók, annál inkább tűnt úgy, hogy az áldozatokat feltört routerek segítségével fertőzték meg. A támadások során a Slingshot mögött álló bűnözői csoport feltörte a routereket ahhoz, hogy elhelyezzen bennük egy rosszindulatú dinamikus linket, amelynek feladata valójában további kártékony összetevők letöltése. Amikor egy rendszergazda bejelentkezett, hogy konfigurálja az adott routert, a router kezelőszoftvere letöltötte és futtatta a számítógépen található rosszindulatú modult. Hogy miként támadták meg az első routert, egyelőre ismeretlen.

A fertőzést követően a Slingshot további modulokat töltött az áldozat készülékére, köztük két kifejezetten erőset: a Cahnadr és a GollumApp nevű programokat. A két modul összekapcsolódik és képes egymást támogatni az adatgyűjtésben, valamint az adatok továbbításában.

 

A Slingshot fő célja egyértelműen a kiberkémkedés volt. Az elemzés szerint összegyűjtötte a screenshotokat, a billentyű leütéseket, a hálózati adatokat, a jelszavakat, az USB-s csatlakozásokat, minden egyéb „asztali” aktivitást, és a vágólap adatait. Úgy tűnik, hogy bármilyen adatot ellophatott a számítógépről, amit csak akart.

 

A kifinomult és kitartó kibercsapda számos olyan technikát alkalmaz, amely segít az azonosítást elkerülni: titkosítja moduljait, közvetlenül eléri a rendszer szolgáltatókat, anti-debugging módszereket használ. Még arra is képes, hogy kiválassza, melyik folyamatot fertőzze meg annak függvényében, hogy milyen biztonsági megoldást talál a megtámadott rendszeren.

 

A kutatók a vizsgált rosszindulatú mintákat hatodik verzióként definiálják, ami azt sugallja, hogy a kibercsapda működése régóta tart. A Slingshot fejlesztésének ideje és összetettsége azt feltételezi, hogy előállításának költségei igen magasak voltak. Ez arra utal, hogy a kibercsapda mögött álló csoport szervezett és professzionális, és esetleg még egy állam által szponzorált is. A kódban szereplő szöveges nyomok angol nyelvűek. Habár tudni kell, hogy egy-egy kibercsapda területi azonosítása mindig nehéz, hacsak nem lehetetlen.

 

A kutatók mindeddig 100 áldozatot azonosítottak, többnyire Afrika északi országaiban, de elszórva a Közel-Keleten is: Kenya, Jemen, Afganisztán, Líbia, Kongó, Jordánia, Törökország, Irak, Szudán, Szomália és Tanzánia területén találtak nyomokat. Az áldozatok zöme magánszemélyek, de van köztük kormányzati szervezet és intézet is. A legtöbb áldozatot Kenyában és Jemenben észlelték.

 

„A Slingshot egy kifinomult fenyegetés, amely számos eszközzel és módszerrel rendelkezik, beleértve a legmagasabb szintű, kernel jogosultságot, amelyet eddig csak a legfejlettebb kibercsapdáknál láthattunk. A funkciói nagyon értékesek és egyúttal profitábilisak, ami megmagyarázza hosszú, hatéves aktivitását.” – mondta Alexey Shulmin, a Kaspersky Lab vezető malware elemzője.

A Kaspersky Lab termékei sikeresen azonosítják és blokkolják ezt a kibercsapdát.

Annak érdekében, hogy elkerülje a támadást, a Kaspersky Lab kutatói az alábbiakat javasolják:

·         Mikrotik routert használók frissítsék a router szoftverjét, amint lehetséges.

·         Biztosítson hozzáférést alkalmazottainak a legújabb kibercsapda adatokhoz, amelyek segítséget nyújtanak a célzott támadások észleléséhez és megelőzéséhez, például a támadások indikátoraihoz (IoC), a Yara-szabályokhoz és a fejlett fenyegetések jelentéseihez.

·         Ha célzott támadások indikátorait észleli, használjon eredményes védelmi megoldást, amely segít a kibercsapdák azonosításában.

 

https://securelist.com/apt-slingshot/84312/

EZ IS ÉRDEKELHETI

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

1973-2023 WebshopCompany Ltd. Uk Copyright © All rights reserved. Powered by WebshopCompany Ltd.