I ricercatori di Kaspersky Lab hanno scoperto la minaccia utilizzata per il cyber-spionaggio “Slingshot”; attacca e infetta le vittime attraverso router compromessi. L’operazione Slingshot è stata scoperta dopo che i ricercatori hanno trovato un programma keylogger sospetto e creato una firma di rilevamento comportamentale per vedere se quel codice comparisse da qualche altra parte. Questo ha permesso di rilevare un computer infetto con un file sospetto all’interno della cartella di sistema denominata scesrv.dll. I ricercatori hanno deciso di indagare ulteriormente: l’analisi del file ha mostrato che, nonostante apparisse legittimo, il modulo scesrv.dll conteneva un codice dannoso. Poiché questa library è caricata da “services.exe”, un processo che ha privilegi di sistema, la library compromessa otteneva gli stessi privilegi. I ricercatori hanno, quindi, capito che un “intruso” si era fatto strada nel core del computer.
La cosa più importante di Slingshot è, probabilmente, il suo insolito vettore di attacco. Quando i ricercatori hanno scoperto il numero di vittime compromesse hanno notato che molte sembravano essere state inizialmente infettate da router hackerati. In questi attacchi, il gruppo che si cela dietro Slingshot sembra che agisca compromettendo i router e inserendo al loro interno una library di collegamenti dinamici dannosi, che, in realtà sono un downloader per altri componenti dannosi. Quando un amministratore effettua il login per configurare il router, il software di gestione (del router) scarica ed esegue il modulo dannoso sul computer in questione.
All’inizio il metodo utilizzato per hackerare i router è rimasto sconosciuto. Dopo l’infezione, Slingshot carica un numero di moduli sul dispositivo della vittima, inclusi i potenti Cahnadr e GollumApp: i due moduli sono connessi e in grado di supportarsi reciprocamente nella raccolta delle informazioni, nella persistenza e nell’esfiltrazione dei dati.
Il principale scopo di Slingshot sembra sia il cyberspionaggio: l’analisi suggerisce che Slingshot raccolga schermate, dati della tastiera, dati di rete, password, connessioni USB, altre attività del desktop, dati degli appunti e molto altro, sebbene l’accesso al kernel fornisca la possibilità di rubare tutto ciò che si voglia. Questa minaccia avanzata e persistente comprende anche una serie di tecniche che consentono di eludere il rilevamento tra cui la crittografia di tutte le stringhe dei suoi moduli, utilizzando direttamente i servizi di sistema per aggirare gli hook dei prodotti di sicurezza, attraverso una serie di tecniche anti-debug e selezionando quali processi indurre in base alla soluzione di sicurezza installata e in esecuzione.
Slingshot funziona come una backdoor passiva: non ha un indirizzo di comando e controllo (C&C) predefinito, ma lo può ottenere dall’operatore intercettando tutti i pacchetti di rete in modalità kernel e controllando se ci sono due costanti predefinite nell’intestazione. Se questo avviene, significa che quel pacchetto contiene l’indirizzo C&C, dopodiché, Slingshot stabilisce un canale di comunicazione crittografato con il C&C e inizia a trasmettere i dati per l’esfiltrazione.
Finora, i ricercatori hanno rilevato circa 100 vittime di Slingshot e dei suoi relativi moduli, situati in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. La maggior parte delle vittime sembrano essere semplici utenti piuttosto che aziende, anche se sono state colpite anche alcune organizzazioni e istituzioni governative. Gli account più colpiti sono in Kenya e Yemen.
Per evitare di esser vittime di un attacco simile, i ricercatori di Kaspersky Lab consigliano di seguire le seguenti misure:
• Gli utenti dei router Mikrotik devono eseguire l’aggiornamento alla versione più recente del software il prima possibile per garantire la protezione da vulnerabilità note. In questo modo Mikrotik Winbox non scaricherà più nulla dal router al computer dell’utente. • Utilizzare una soluzione di sicurezza affidabile per le aziende in combinazione con tecnologie anti-targeting attack e threat intelligence, come Kaspersky Threat Management e Defense. Queste sono in grado di individuare e bloccare attacchi mirati avanzati analizzando le anomalie della rete e offrendo ai team di sicurezza informatica piena visibilità sulla rete e sulle risposte automatiche; • Fornire al personale addetto alla sicurezza l’accesso ai più recenti dati di threat intelligence, in modo da poterli dotare di strumenti utili per la ricerca e la prevenzione mirata degli attacchi, come indicatori di compromissione (IoC), YARA rule e segnalazione avanzata personalizzata delle minacce; • Se si individuano i primi indicatori di un attacco mirato, si devono prendere in considerazione i servizi di protezione gestiti che consentono di rilevare proattivamente le minacce avanzate, ridurre i tempi di fermo macchina e organizzare la risposta tempestiva agli attacchi.
