Egy fejlett kibercsapda 6 éven keresztül kémlelt áldozatai után
2018. március 14.
A Kaspersky Lab kutatói nemrég olyan kifinomult kibercsapdát azonosítottak, amelyet főként kiberkémkedésre használtak a Közel-Keleten és Afrikában 2012-től idén februárig. A malware, amelyet a kutatók „Slingshot”-nak neveztek el, meghekkelt routereken keresztül támadta és fertőzte áldozatait, teljes kontrollal az áldozatok készülékei felett. A kutatók szerint a kibercsapda számos egyedi és kellően hatékony technikát használt ahhoz, hogy képes legyen az ellopott adatok összesítésére. Arra is képes, hogy az adatforgalmát elrejtse és ezáltal nem nyomon követhetővé váljon.
Kép forrása: Kaspersky Blog
A Slingshot működését akkor észlelték, amikor a kutatók gyanús keylogger programot találtak. A detektáláshoz a szakemberek egy viselkedés alapú azonosító aláírást használtak, majd figyelték annak felbukkanását. Ez az aláírás elvezetett egy olyan gyanús fájlhoz, amelyet egy megtámadott számítógépen a scesrv.dll nevű rendszermappában tároltak. A fájl elemzése azt mutatta, hogy a fájl rosszindulatú, annak ellenére, hogy legálisnak tűnt. Mivel ezt a „könyvtárt” hajtja a services.exe program, ezért a megtámadott „könyvtár” ugyanolyan jogosultságokat szerzett. A kutatók rájöttek, hogy egy nagyon fejlett betolakodó került a számítógép rendszermagjába.
A legérdekesebb tény a Slingshotról valószínűleg a szokatlan támadási kiindulópontja. Minél több áldozatot azonosítottak a kutatók, annál inkább tűnt úgy, hogy az áldozatokat feltört routerek segítségével fertőzték meg. A támadások során a Slingshot mögött álló bűnözői csoport feltörte a routereket ahhoz, hogy elhelyezzen bennük egy rosszindulatú dinamikus linket, amelynek feladata valójában további kártékony összetevők letöltése. Amikor egy rendszergazda bejelentkezett, hogy konfigurálja az adott routert, a router kezelőszoftvere letöltötte és futtatta a számítógépen található rosszindulatú modult. Hogy miként támadták meg az első routert, egyelőre ismeretlen.
A Slingshot támadási módszere
A fertőzést követően a Slingshot további modulokat töltött az áldozat készülékére, köztük két kifejezetten erőset: a Cahnadr és a GollumApp nevű programokat. A két modul összekapcsolódik és képes egymást támogatni az adatgyűjtésben, valamint az adatok továbbításában.
A Slingshot fő célja egyértelműen a kiberkémkedés volt. Az elemzés szerint összegyűjtötte a screenshotokat, a billentyű leütéseket, a hálózati adatokat, a jelszavakat, az USB-s csatlakozásokat, minden egyéb „asztali” aktivitást, és a vágólap adatait. Úgy tűnik, hogy bármilyen adatot ellophatott a számítógépről, amit csak akart.
A kifinomult és kitartó kibercsapda számos olyan technikát alkalmaz, amely segít az azonosítást elkerülni: titkosítja moduljait, közvetlenül eléri a rendszer szolgáltatókat, anti-debugging módszereket használ. Még arra is képes, hogy kiválassza, melyik folyamatot fertőzze meg annak függvényében, hogy milyen biztonsági megoldást talál a megtámadott rendszeren.
A kutatók a vizsgált rosszindulatú mintákat hatodik verzióként definiálják, ami azt sugallja, hogy a kibercsapda működése régóta tart. A Slingshot fejlesztésének ideje és összetettsége azt feltételezi, hogy előállításának költségei igen magasak voltak. Ez arra utal, hogy a kibercsapda mögött álló csoport szervezett és professzionális, és esetleg még egy állam által szponzorált is. A kódban szereplő szöveges nyomok angol nyelvűek. Habár tudni kell, hogy egy-egy kibercsapda területi azonosítása mindig nehéz, hacsak nem lehetetlen.
A kutatók mindeddig 100 áldozatot azonosítottak, többnyire Afrika északi országaiban, de elszórva a Közel-Keleten is: Kenya, Jemen, Afganisztán, Líbia, Kongó, Jordánia, Törökország, Irak, Szudán, Szomália és Tanzánia területén találtak nyomokat. Az áldozatok zöme magánszemélyek, de van köztük kormányzati szervezet és intézet is. A legtöbb áldozatot Kenyában és Jemenben észlelték.
„A Slingshot egy kifinomult fenyegetés, amely számos eszközzel és módszerrel rendelkezik, beleértve a legmagasabb szintű, kernel jogosultságot, amelyet eddig csak a legfejlettebb kibercsapdáknál láthattunk. A funkciói nagyon értékesek és egyúttal profitábilisak, ami megmagyarázza hosszú, hatéves aktivitását.” – mondta Alexey Shulmin, a Kaspersky Lab vezető malware elemzője.
A Kaspersky Lab termékei sikeresen azonosítják és blokkolják ezt a kibercsapdát.
Annak érdekében, hogy elkerülje a támadást, a Kaspersky Lab kutatói az alábbiakat javasolják:
- Mikrotik routert használók frissítsék a router szoftverjét, amint lehetséges.
- Használjon megbízható biztonsági megoldást, mint például a Kaspersky Threat Management and Defense programot.
- Biztosítson hozzáférést alkalmazottainak a legújabb kibercsapda adatokhoz, amelyek segítséget nyújtanak a célzott támadások észleléséhez és megelőzéséhez, például a támadások indikátoraihoz (IoC), a Yara-szabályokhoz és a fejlett fenyegetések jelentéseihez.
- Ha célzott támadások indikátorait észleli, használjon eredményes védelmi megoldást, amely segít a kibercsapdák azonosításában.
Bővebb információt a Slingshot nevű fejlett kiberfenyegetésről ezen a linken olvashat.
Kapcsolódó cikkek
- A tudatosság hiánya okozza az egyik legnagyobb veszélyt a vállalkozások számára
- Létfontosságú az informatikai biztonsági tudatosság a vállalkozásoknál
- Routeren keresztül támad a kiberkém
- Az ünnepek alatt is figyeljünk a gyerekekre!
- Kaspersky: jobban kell védeni az internetező gyerekeket az ünnepek alatt
- Jelentősen nőtt a Kaspersky által észlelt kibercsapdák száma
- A Kaspersky Lab idén 360.000 kártékony programot azonosított naponta
- Egyre fontosabb az informatikai rendszerek védelem az egészségügyben
- Digitális adatok, internetre csatlakoztatott eszközök az egészségügyben lehetnek a jövő legnagyobb kibercélpontjai?
- A Kaspersky Lab meghívja a VR rajongóit, hogy vegyenek részt a jók és a rosszak láthatatlan kibertéri harcában