APT Slingshot: Attenti a quell’ hardware Trojan!

I nostri esperti analizzano una delle più sofisticate campagne APT che abbiamo mai visto

Una delle rivelazioni più interessanti dei nostri ricercatori al Kaspersky Security Analyst Summit (SAS) di quest’anno, è stata una relazione su una campagna molto sofisticata di cyberspionaggio chiamata Slingshot. I suoi operatori perseguono obiettivi di cyberespionaggio e hanno attaccato soprattutto individui. Tuttavia, le aziende hanno qualcosa da imparare da questo caso; i cybercriminali commerciali potrebbero adottare tecniche simili e utilizzarle contro le società.

Vettore di attacco

La prima parte da capire è il mezzo dell’ infezione. Ciò che rende unico questo vettore di attacco iniziale è che, secondo la nostra ricerca, molte vittime sono state attaccate dopo l’installazione di router compromessi realizzati da MikroTik. Gli aggressori hanno trovato un modo per compromettere i dispositivi e trasformarli in hardware Trojan horses (cavalli di Troia). Hanno sfruttato l’utilità di configurazione dei router, portandoli a scaricare ed eseguire diversi file DLL direttamente dal router, uno dei quali era un downloader per vari file dannosi, che erano anche conservati nel router.

A questo punto dobbiamo aggiungere che noi abbiamo segnalato questo problema al produttore del router e MikroTik ha già affrontato questo problema. Tuttavia, i nostri esperti ritengono che MikroTik non sia l’unico marchio utilizzato dagli operatori di Slingshot – potrebbero esserci altri dispositivi compromessi.

Un altro aspetto interessante di Slingshot è un trucco che usa per eseguire malware in modalità kernel. Nei sistemi operativi aggiornati, questo era quasi impossibile – non c’era abbastanza vulnerabilità – ma questo malware prima scaricava i driver vulnerabili firmati e solo allora eseguiva il proprio codice.

Strumenti dannosi

Tra i malware utilizzati da Slingshot, c’erano due capolavori: un modulo in modalità kernel chiamato Cahnadr e GollumApp, un modulo in modalità utente.

Funzionando in modalità kernel, Cahnadr offre agli aggressori il controllo completo, senza limitazioni, sul computer infetto. Inoltre, a differenza della maggior parte del malware che tenta di funzionare in modalità kernel, può eseguire il codice senza danneggiare il file system o causare una schermata blu. Il secondo programma, GollumApp, è ancora più sofisticato. Contiene circa 1.500 funzioni del codice utente.

Grazie a questi moduli, Slingshot può raccogliere schermate, dati della tastiera, dati di rete, password, altre attività del desktop, appunti e molto altro ancora. E tutto senza sfruttare alcuna vulnerabilità zero-day. Almeno, i nostri esperti non hanno ancora scoperto Slingshot ad usarle.

Meccanismo antidetection (anti-rivelamento)

Ciò che rende Slingshot davvero pericoloso sono i numerosi trucchi che i suoi operatori usano per evitare il rilevamento. Può persino arrestare i suoi componenti quando rileva segni che potrebbero indicare ricerche forensi. Inoltre, Slingshot utilizza il proprio file system crittografato, in una parte non utilizzata di un disco rigido. Potete trovare maggiori dettagli riguardo Slingshot su Securelist.

Come far fronte ad APT come Slingshot

Se utilizzate un router MikroTik e un software di gestione WinBox, scaricate l’ultima versione del programma e assicuratevi che il router sia stato aggiornato all’ultima versione del suo sistema operativo. Tuttavia, gli aggiornamenti vi salvano da un solo vettore di attacco, non dall’APT stesso.

Per proteggere la vostra azienda da attacchi mirati e sofisticati, dovete adottare un approccio strategico. Noi offriamo Threat Management and Defense platform (la piattaforma di gestione e di difesa delle minacce). È costituita dalla piattaforma Kaspersky Anti Targeted Attack, dalla nostra nuova soluzione Kaspersky Endpoint Detection and Response e dai servizi degli esperti.

Kaspersky Anti Targeted Attack vi consente di individuare anomalie nel traffico di rete, di isolare processi sospetti e di cercare correlazioni tra gli eventi. Kaspersky Endpoint Detection and Response serve per aggregare e visualizzare i dati raccolti. E, grazie ai servizi dei nostri esperti, è possibile ricevere assistenza in qualsiasi momento in caso di incidenti particolarmente difficili, addestrare il vostro personale del centro di monitoraggio e aumentare la consapevolezza dei dipendenti dell’azienda in generale. Trovate maggiori dettagli su questa soluzione qui.

Consigli