恶意软件已发现了可以通过路由器远程攻击计算机。该恶意软件是由卡巴斯基实验室的研究人员发现的,名为 Slingshot ATP。 Slingshot 恶意软件是第一个被发现的此类恶意软件。这种巧妙的设计使其能够访问系统管理员的计算机,而无需首先将自己实际安装在那里。
据信,这种隐形恶意软件已经传播了 6 年,期间感染了至少 100 台计算机。该恶意软件的名称来源于从其代码中恢复的文本,是迄今为止发现的最先进的恶意软件形式之一。据卡巴斯基研究人员称,它非常先进,很可能是国家资助的开发项目。
极其精密
描述该恶意软件的(pdf),卡巴斯基解释说,它可能是一个被国家情报机构用于间谍活动的复杂工具:
“Slingshot 的发现揭示了另一个复杂的生态系统,其中多个组件协同工作,以提供一个非常灵活且运转良好的网络间谍平台。
“该恶意软件非常先进,从技术角度解决了各种问题,而且通常以一种非常优雅的方式,将新旧组件结合在一起,进行彻底深思熟虑的长期操作,这是资源丰富的一流攻击者所期望的。”
卡巴斯基全球研究总监 Costin Raiu 公开赞扬了 Slingshot 有效载荷中的独创性。他在一份声明中评论说,他“以前从未见过这种攻击媒介,首先入侵路由器,然后去找系统管理员”。
Raiu 表示,尽管黑客攻击系统管理员的行为很常见,但很难被发现。他表示,系统管理员有效负载是一种极受追捧的攻击媒介,因为它为黑客提供了“王国的钥匙”。据研究人员称,Slingshot 使用“全新策略”实现了这一目标。
仍然是个谜
Slingshot 路由器恶意软件是偶然发现的。卡巴斯基研究人员仍然不确定它是如何传递到受害者的路由器的。众所周知,控制 Slingshot 的人主要将有效载荷瞄准拉脱维亚公司制造的路由器米克罗蒂克。
尽管确切的攻击向量仍然笼罩在神秘之中,但研究人员能够确定攻击者使用了名为的 MikroTik 配置实用程序温盒“从路由器的文件系统下载动态链接库文件”。一个特定的文件 ipv4.dll 在执行之前会从路由器加载到 sysadmin 计算机的内存中。卡巴斯基在报告中称该加载程序“在技术上很有趣”。
加载程序巧妙地与路由器进行通信,以下载有效负载中更危险的组件(路由器基本上充当黑客的命令和控制(CnC)服务器)。
“感染后,Slingshot 会将许多模块加载到受害者设备上,其中包括两个巨大而强大的模块:Cahnadr(内核模式模块)和 GollumApp(用户模式模块)。这两个模块相互连接,能够在信息收集、持久性和数据泄露方面相互支持。”
先进的隐形机制
也许 Slingshot 最令人印象深刻的是它能够避免被发现。尽管 Slingshot 自 2012 年以来一直在野外存在,并且在上个月仍在运行,但到目前为止,Slingshot 一直没有被发现。这是因为它使用了加密的虚拟文件系统,故意隐藏在受害者硬盘驱动器的未使用部分中。
卡巴斯基表示,将恶意软件文件与文件系统隔离有助于防止其被防病毒程序检测到。该恶意软件还使用加密和精明设计的关闭策略来阻止取证工具检测其存在。
弹弓似乎被一个民族国家用来执行间谍活动。该恶意软件已与至少 11 个国家/地区的受害者相关。到目前为止,卡巴斯基已在肯尼亚、也门、阿富汗、利比亚、刚果、约旦、土耳其、伊拉克、苏丹、索马里和坦桑尼亚发现了受感染的计算机。
这些目标中的大多数似乎都是个人。然而,卡巴斯基确实发现了一些政府组织和机构成为攻击目标的证据。目前,没有人确定谁控制着复杂的有效载荷。目前,卡巴斯基还不愿意指责。然而,研究人员确实在用完美英语编写的代码中发现了调试消息。
卡巴斯基表示,它认为 Slingshot 的复杂性表明攻击者是由国家资助的。它包含完美的英语这一事实可能会牵涉到国家安全局、中央情报局或政府通讯总部。当然,国家资助的恶意软件开发人员有可能通过使他们的漏洞看起来是在其他地方创建的来互相陷害:
“Slingshot 使用的一些技术,例如利用合法但易受攻击的驱动程序,已经之前在其他恶意软件中也出现过,例如 White 和 Gray Lambert。然而,准确的归因总是很难(如果不是不可能的话)确定,并且越来越容易被操纵和错误。”
Mikrotik 路由器的用户可以做什么?
卡巴斯基已向 Mikrotik 通报了该漏洞。 Mikrotik 路由器的用户必须尽快更新到最新的软件版本,以确保免受 Slingshot 攻击。
标题图片来源:Yuttanas/Shutterstock.com
图片来源:Hollygraphic/Shutterstock.com,卡巴斯基报告的屏幕截图。