惡意軟件已發現了可以通過路由器遠程攻擊計算機。該惡意軟件是由卡巴斯基實驗室的研究人員發現的,名為 Slingshot ATP。 Slingshot 惡意軟件是第一個被發現的此類惡意軟件。這種巧妙的設計使其能夠訪問系統管理員的計算機,而無需首先將自己實際安裝在那裡。
據信,這種隱形惡意軟件已經傳播了 6 年,期間感染了至少 100 台計算機。該惡意軟件的名稱來源於從其代碼中恢復的文本,是迄今為止發現的最先進的惡意軟件形式之一。據卡巴斯基研究人員稱,它非常先進,很可能是國家資助的開發項目。
極其精密
描述該惡意軟件的(pdf),卡巴斯基解釋說,它可能是一個被國家情報機構用於間諜活動的複雜工具:
“Slingshot 的發現揭示了另一個複雜的生態系統,其中多個組件協同工作,以提供一個非常靈活且運轉良好的網絡間諜平台。
“該惡意軟件非常先進,從技術角度解決了各種問題,而且通常以一種非常優雅的方式,將新舊組件結合在一起,進行徹底深思熟慮的長期操作,這是資源豐富的一流攻擊者所期望的。”
卡巴斯基全球研究總監 Costin Raiu 公開讚揚了 Slingshot 有效載荷中的獨創性。他在一份聲明中評論說,他“以前從未見過這種攻擊媒介,首先入侵路由器,然後去找系統管理員”。
Raiu 表示,儘管黑客攻擊系統管理員的行為很常見,但很難被發現。他表示,系統管理員有效負載是一種極受追捧的攻擊媒介,因為它為黑客提供了“王國的鑰匙”。據研究人員稱,Slingshot 使用“全新策略”實現了這一目標。
仍然是個謎
Slingshot 路由器惡意軟件是偶然發現的。卡巴斯基研究人員仍然不確定它是如何傳遞到受害者的路由器的。眾所周知,控制 Slingshot 的人主要將有效載荷瞄準拉脫維亞公司製造的路由器米克羅蒂克。
儘管確切的攻擊向量仍然籠罩在神秘之中,但研究人員能夠確定攻擊者使用了名為的 MikroTik 配置實用程序溫盒“從路由器的文件系統下載動態鏈接庫文件”。一個特定的文件 ipv4.dll 在執行之前會從路由器加載到 sysadmin 機器的內存中。卡巴斯基在報告中稱該加載程序“在技術上很有趣”。
加載程序巧妙地與路由器進行通信,以下載有效負載中更危險的組件(路由器基本上充當黑客的命令和控制(CnC)服務器)。
“感染後,Slingshot 會將許多模塊加載到受害者設備上,其中包括兩個巨大而強大的模塊:Cahnadr(內核模式模塊)和 GollumApp(用戶模式模塊)。這兩個模塊相互連接,能夠在信息收集、持久性和數據洩露方面相互支持。”
先進的隱形機制
也許 Slingshot 最令人印象深刻的是它能夠避免被發現。儘管 Slingshot 自 2012 年以來一直在野外存在,並且在上個月仍在運行,但到目前為止,Slingshot 一直沒有被發現。這是因為它使用了加密的虛擬文件系統,故意隱藏在受害者硬盤驅動器的未使用部分中。
卡巴斯基表示,將惡意軟件文件與文件系統隔離有助於防止其被防病毒程序檢測到。該惡意軟件還使用加密和精明設計的關閉策略來阻止取證工具檢測其存在。
彈弓似乎被一個民族國家用來執行間諜活動。該惡意軟件已與至少 11 個國家/地區的受害者相關。到目前為止,卡巴斯基已在肯尼亞、也門、阿富汗、利比亞、剛果、約旦、土耳其、伊拉克、蘇丹、索馬里和坦桑尼亞發現了受感染的計算機。
這些目標中的大多數似乎都是個人。然而,卡巴斯基確實發現了一些政府組織和機構成為攻擊目標的證據。目前,沒有人確定誰控制著複雜的有效載荷。目前,卡巴斯基還不願意指責。然而,研究人員確實在用完美英語編寫的代碼中發現了調試消息。
卡巴斯基表示,它認為 Slingshot 的複雜性表明攻擊者是由國家資助的。它包含完美的英語這一事實可能會牽涉到國家安全局、中央情報局或政府通訊總部。當然,國家資助的惡意軟件開發人員有可能通過使他們的漏洞看起來是在其他地方創建的來互相陷害:
“Slingshot 使用的一些技術,例如利用合法但易受攻擊的驅動程序,已經之前在其他惡意軟件中也出現過,例如 White 和 Gray Lambert。然而,準確的歸因總是很難(如果不是不可能的話)確定,並且越來越容易被操縱和錯誤。 ”
Mikrotik 路由器的用戶可以做什麼?
卡巴斯基已向 Mikrotik 通報了該漏洞。 Mikrotik 路由器的用戶必須盡快更新到最新的軟件版本,以確保免受 Slingshot 攻擊。
標題圖片來源:Yuttanas/Shutterstock.com
圖片來源:Hollygraphic/Shutterstock.com,卡巴斯基報告的屏幕截圖。