I ricercatori di Kaspersky Lab hanno scoperto una minaccia sofisticata utilizzata per il cyber-spionaggio in Medio Oriente e in Africa attiva dal 2012 a febbraio 2018.
I ricercatori di Kaspersky Lab hanno scoperto una minaccia sofisticata utilizzata per il cyber-spionaggio in Medio Oriente e in Africa attiva dal 2012 a febbraio 2018. Il malware, che i ricercatori hanno chiamato “Slingshot”, attacca e infetta le vittime attraverso router compromessi e può essere eseguito in modalità kernel, ottenendo il controllo completo sui dispositivi delle vittime. Secondo i ricercatori, molte delle tecniche utilizzate da questo gruppo di criminali sono uniche ed estremamente efficaci nella raccolta di informazioni all’insaputa dell’utente, poiché Slingshot agisce nascondendo il traffico in pacchetti di dati marcati che può intercettare senza lasciar traccia nelle comunicazioni quotidiane.
L'operazione Slingshot è stata scoperta dopo che i ricercatori hanno trovato un programma keylogger sospetto e creato una firma di rilevamento comportamentale per vedere se quel codice comparisse da qualche altra parte. Questo ha permesso di rilevare un computer infetto con un file sospetto all'interno della cartella di sistema denominata scesrv.dll. I ricercatori hanno deciso di indagare ulteriormente: l'analisi del file ha mostrato che, nonostante apparisse legittimo, il modulo scesrv.dll conteneva un codice dannoso. Poiché questa library è caricata da "services.exe", un processo che ha privilegi di sistema, la library compromessa otteneva gli stessi privilegi. I ricercatori hanno, quindi, capito che un “intruso” si era fatto strada nel core del computer.
La cosa più importante di Slingshot è, probabilmente, il suo insolito vettore di attacco. Quando i ricercatori hanno scoperto il numero di vittime compromesse hanno notato che molte sembravano essere state inizialmente infettate da router hackerati. In questi attacchi, il gruppo che si cela dietro Slingshot sembra che agisca compromettendo i router e inserendo al loro interno una library di collegamenti dinamici dannosi, che, in realtà sono un downloader per altri componenti dannosi. Quando un amministratore effettua il login per configurare il router, il software di gestione (del router) scarica ed esegue il modulo dannoso sul computer in questione.
All’inizio il metodo utilizzato per hackerare i router è rimasto sconosciuto. Dopo l'infezione, Slingshot carica un numero di moduli sul dispositivo della vittima, inclusi i potenti Cahnadr e GollumApp: i due moduli sono connessi e in grado di supportarsi reciprocamente nella raccolta delle informazioni, nella persistenza e nell'esfiltrazione dei dati.
Il principale scopo di Slingshot sembra sia il cyberspionaggio: l'analisi suggerisce che Slingshot raccolga schermate, dati della tastiera, dati di rete, password, connessioni USB, altre attività del desktop, dati degli appunti e molto altro, sebbene l’accesso al kernel fornisca la possibilità di rubare tutto ciò che si voglia.
Questa minaccia avanzata e persistente comprende anche una serie di tecniche che consentono di eludere il rilevamento tra cui la crittografia di tutte le stringhe dei suoi moduli, utilizzando direttamente i servizi di sistema per aggirare gli hook dei prodotti di sicurezza, attraverso una serie di tecniche anti-debug e selezionando quali processi indurre in base alla soluzione di sicurezza installata e in esecuzione.
Slingshot funziona come una backdoor passiva: non ha un indirizzo di comando e controllo (C&C) predefinito, ma lo può ottenere dall'operatore intercettando tutti i pacchetti di rete in modalità kernel e controllando se ci sono due costanti predefinite nell'intestazione. Se questo avviene, significa che quel pacchetto contiene l'indirizzo C&C, dopodiché, Slingshot stabilisce un canale di comunicazione crittografato con il C&C e inizia a trasmettere i dati per l'esfiltrazione.
I campioni dannosi analizzati dai ricercatori sono stati contrassegnati come "versione 6.x", il che suggerisce che la minaccia esista da diverso tempo. Il tempo di sviluppo, l'abilità necessaria e i costi di creazione del set di strumenti complessi di Slingshot sembrano essere stati estremamente elevati. Questi indizi suggeriscono che il gruppo dietro Slingshot sia probabilmente altamente organizzato e professionale e probabilmente sponsorizzato da Stati. Gli indizi nel codice suggeriscono che sia di lingua inglese, tuttavia, l'attribuzione accurata è sempre difficile, se non impossibile da determinare e soggetta a manipolazione e a errore.
Finora, i ricercatori hanno rilevato circa 100 vittime di Slingshot e dei suoi relativi moduli, situati in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. La maggior parte delle vittime sembrano essere semplici utenti piuttosto che aziende, anche se sono state colpite anche alcune organizzazioni e istituzioni governative. Gli account più colpiti sono in Kenya e Yemen.
"Slingshot è una minaccia sofisticata, che impiega una vasta gamma di strumenti e tecniche, compresi i moduli in modalità kernel, finora usati solo dai cyber criminali più avanzati. La sua azione è molto preziosa e redditizia per gli aggressori, e questo potrebbe spiegare perché sia in circolazione da circa sei anni", ha affermato Alexey Shulmin, Lead Analyst Malware di Kaspersky Lab.
Tutti i prodotti Kaspersky Lab rilevano e bloccano correttamente questa minaccia. Per evitare di esser vittime di un attacco simile, i ricercatori di Kaspersky Lab consigliano di seguire le seguenti misure:
- Gli utenti dei router Mikrotik devono eseguire l'aggiornamento alla versione più recente del software il prima possibile per garantire la protezione da vulnerabilità note. In questo modo Mikrotik Winbox non scaricherà più nulla dal router al computer dell'utente.
- Utilizzare una soluzione di sicurezza affidabile per le aziende in combinazione con tecnologie anti-targeting attack e threat intelligence, come Kaspersky Threat Management e Defense. Queste sono in grado di individuare e bloccare attacchi mirati avanzati analizzando le anomalie della rete e offrendo ai team di sicurezza informatica piena visibilità sulla rete e sulle risposte automatiche;
- Fornire al personale addetto alla sicurezza l'accesso ai più recenti dati di threat intelligence, in modo da poterli dotare di strumenti utili per la ricerca e la prevenzione mirata degli attacchi, come indicatori di compromissione (IoC), YARA rule e segnalazione avanzata personalizzata delle minacce;
- Se si individuano i primi indicatori di un attacco mirato, si devono prendere in considerazione i servizi di protezione gestiti che consentono di rilevare proattivamente le minacce avanzate, ridurre i tempi di fermo macchina e organizzare la risposta tempestiva agli attacchi.
Per maggiori informazioni è disponibile il report di Slingshot su Securelist.