Badacze z Kaspersky Lab znaleźli podejrzany program przechwytujący znaki wprowadzane z klawiatury (tzw. keylogger) i stworzyli sygnaturę wykrywania na podstawie zachowania, aby sprawdzić, czy kod ten pojawił się gdzieś indziej. Wykryto podejrzany plik wewnątrz foldera systemowego o nazwie scesrv.dll. Z analizy wynika, że chociaż wygląda on na legalny moduł scesrv.dll, wewnątrz kryje się szkodliwy kod. Atak cyberszpiega jest niezwykle skuteczny pod względem niezauważalnego gromadzenia informacji, ukrywania swojego ruchu i przechwytywania danych bez pozostawiania śladów w codziennej komunikacji.

Najbardziej niezwykłym aspektem dotyczącym ataku Slingshot jest prawdopodobnie jego nietypowy wektor ataków. Po zidentyfikowaniu kolejnych ofiar badacze odkryli, że wiele z nich zostało zainfekowanych za pośrednictwem zhakowanych routerów. Podczas tych ataków ugrupowanie odpowiedzialne za Slingshot prawdopodobnie włamało się do tych urządzeń sieciowych i umieściło wewnątrz szkodliwą bibliotekę, która stanowi w rzeczywistości narzędzie pobierające inne szkodliwe komponenty. Metoda wykorzystana do włamywania się do routerów pozostaje nieznana.Po zainfekowaniu Slingshot ładuje wiele modułów na urządzeniu ofiary, w tym dwa duże i złożone: Cahnadr oraz GollumApp. Te dwa moduły są połączone ze sobą i mogą wspomagać się w zakresie gromadzenia danych, utrzymania swojej obecności oraz wyprowadzania informacji.

Głównym celem kampanii Slingshot wydaje się cyberszpiegostwo. Z analizy wynika, że w ramach operacji gromadzone są zrzuty ekranu, dane wprowadzane z klawiatury, dane sieciowe, hasła, połączenia USB, dane ze schowka itd. Mając dostęp do systemu z uprawnieniami administratora, atakujący mogą ukraść wszystko, czego potrzebują.

 W ramach kampanii Slingshot zastosowano również wiele technik, które pomagały atakującym uniknąć wykrycia: w tym szyfrowanie wszystkich ciągów we własnych modułach, bezpośrednie wywoływanie usług systemowych w celu obejścia produktów bezpieczeństwa, wykorzystywanie różnych technik uniemożliwiających debugowanie czy wybór procesu do wstrzyknięcia w zależności od zainstalowanych i uruchomionych procesów rozwiązań bezpieczeństwa.

Slingshot działa jak pasywny backdoor: nie posiada zakodowanego na stałe adresu serwera kontroli, ale uzyskuje go od operatora poprzez przechwytywanie wszystkich pakietów sieciowych w trybie jądra i sprawdzanie, czy w nagłówku znajdują się dwie „magiczne” informacje. Jeśli tak, oznacza to, że pakiet zawiera adres serwera cyberprzestępczego. Następnie Slingshot ustanawia szyfrowany kanał komunikacji z centrum kontroli i zaczyna przesyłać dane.

Jak dotąd badacze zidentyfikowali około 100 ofiar kampanii Slingshot i związanych z nią modułów, zlokalizowanych w Kenii, Jemenie, Afganistanie, Libii, Kongo, Jordanii, Turcji, Iraku, Sudanie, Somalii oraz Tanzanii. Większość ofiar to osoby fizyczne. Można jednak wyróżnić kilka organizacji rządowych oraz instytucji. Większość zidentyfikowanych dotychczas ofiar znajduje się w Kenia oraz Jemenie.

Zalecenia bezpieczeństwa

1. Użytkownicy routerów Mikrotik powinni możliwie jak najszybciej uaktualnić ich oprogramowanie do najnowszej wersji, aby zapewnić sobie ochronę przed znanymi lukami w zabezpieczeniach.
2. Należy stosować sprawdzone rozwiązanie bezpieczeństwa klasy korporacyjnej w połączeniu z technologiami ochrony przed atakami ukierunkowanymi oraz danymi analitycznymi dotyczącymi zagrożeń.
3. Należy zapewnić personelowi bezpieczeństwa dostęp do najnowszych danych analitycznych dotyczących zagrożeń, które wyposażą go w pomocne narzędzia do badania i zapobiegania atakom ukierunkowanym, takie jak oznaki infekcji (IOC), reguły YARA oraz zindywidualizowane raportowanie o zaawansowanych zagrożeniach.
4. Jeśli zostaną zauważone wczesne oznaki ataku ukierunkowanego, należy rozważyć skorzystanie z usługi ochrony zarządzanej, które pozwolą proaktywnie wykrywać zaawansowane zagrożenia, ograniczyć czas ich rezydowania w systemie oraz zapewnić reakcję na incydent w odpowiednim czasie.

Autor: Piotr Kupczyk, Kaspersky Lab Polska