offerte prime day amazon

Slingshot, il super-malware di spionaggio rimasto nell'ombra per almeno sei anni

Slingshot, il super-malware di spionaggio rimasto nell'ombra per almeno sei anni

I ricercatori Kaspersky individuano una nuova piattaforma di spionaggio altamente sofisticata che ha operato indisturbata per almeno 6 anni. La complessità e la sofisticazione del codice indicano un attore con elevato livello di esperienza e risorse

di pubblicata il , alle 15:21 nel canale Sicurezza
 

I ricercatori di sicurezza di Kaspersky hanno pubblicato nei giorni scorsi un documento approfondito che descrive una nuova minaccia particolarmente sofisticata, che è stata in grado di operare indisturbata e nascosta nell'ombra per almeno sei anni. La nuova minaccia è stata battezzata Slingshot, ispirandosi ad un nome trovato all'interno del codice di alcuni degli esemplari di malware recuperati dai ricercatori.

Si tratta di una piattaforma di attacco e cyber espionage tra le più avanzate mai scoperte, che lascia supporre come alle spalle vi sia qualcuno con competenze e risorse di alto livello. Osservano i ricercatori: "La scoperta di Slingshot rivela un altro ecosistema complesso dove vari componenti lavorano insieme per offrire una piattaforma di cyber-espionage molto flessibile e ben collaudata. Il malware è molto avanzato, risolve svariate problematiche dal punto di vista tecnico e spesso in maniera molto elegante e combina componenti vecchi e nuovi, qualcosa che lascia intendere la presenza di un attore di altissimo livello e con un alto grado di risorse".

E' ancora incerta la dinamica che ha portato Slingshot ad infettare le sue vittime. Sembra che gli operatori del malware siano riusciti ad avere l'accesso a router realizzati dal produttore Lettone MikroTK, usando ua utility della stessa MikroTk chiamata Winbox che scarica sul sistema dei file dal filesystem del router. Uno di questi file ipv4.dll è un agente di download creato dagli sviluppatori di Slingshot che, trasferito tramite Winbox sul sistema bersaglio, si installa in memoria e viene eseguito.

Una volta che il sistema viene infettato, Slingshot carica una serie di moduli tra i quali i due elementi chiave di tutta la piattaforma: Cahnadr, il modulo kernel-mode, e GollumApp, il modulo user-mode. Questi due componenti sono interconnessi tra loro e in grado di supportare a vicenda le funzioni di raccolta di informazioni, di persistenza e di esfiltrazione di dati. Il modulo più sofisticato è GollumApp, che contiene quasi 1500 funzioni e svolge la maggior parte delle routine per le attività di persistenza, controllo del filesystem e comunicazioni command and control.

Canhadr, conosciuto anche con il nome di NDriver, integra invece le routine di basso livello per operazioni di rete e I/O. Il programma kernel-mode è capace di eseguire codice dannoso senza mandare in crash il sistema, offre completo accesso all'hard disk e alla memoria e gestisce il controllo integrale di vari componenti del sistema, così da evitare qualsiasi restrizione di sicurezza o segnalazione di debug/sicurezza.

Ad aver colpito i ricercatori è stata soprattutto la capacità di occultamento che gli ha permesso di operare almeno sin dal 2012 e fino allo scorso mese. Una delle modalità che Slingshot ha sfruttato per restare nell'ombra è l'impiego di un filesystem virtuale criptato situato in una parte inutilizzata del disco. Separando i file del malware dal filesystem del computer infetto, Slingshot può restare nascosto dagli antivirus. Tra le altre tecniche è stata individuata la cifratura di tutte le stringhe di testo presenti nei vari moduli, la chiamata diretta di servizi di sistema bypassando i punti di controllo dei normali prodotti di sicurezza e la capacità di disattivare i suoi componenti quando vengono installati sul sistema infetto programmi di indagini forensi.

Lo scopo principale del malware pare essere lo spionaggio. I ricercatori Kaspersky indicano che Slingshot può essere stato usato per registrare l'attività desktop e i contenuti della clipboard, per scattare screenshot, catturare input da tastiera, traffico di rete, password e informazioni sui dispositivi USB connessi. La capacità del malware di accedere al kernel del sistema operativo gli consente di fatto di accedere a qualsiasi risorsa della macchina infetta.

Sistemi compromessi da Slingshot sono stati riscontrati in Kenya e Yemen, ma anche in Afghanistan, Libya, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. Le vittime sembrano essere per lo più singoli individui, ma vi sarebbero anche realtà governative e istituzioni. I sistemi infetti sarebbero un centinaio circa: il numero è ridotto ma considerando la sofisticazione del malware e le funzionalità di spionaggio, è lecito immaginare che si possa trattare di bersagli specifici e, forse, particolarmente importanti.

Kaspersky, come è solita fare in questo tipo di report, non si è spinta particolarmente a fondo ad identificare i possibili attori alle spalle di Slingshot, limitandosi ad osservare che vari messaggi di debug ritrovati in frammenti di codice e scritti in un inglese "perfetto" lasciano intendere che gli sviluppatori del malware parlino correntemente quella lingua. Considerando comunque la sofisticazione della piattaforma (secondo i ricercatori siamo a livello di Regin e Project Sauron), la complessità e la capacità di restare nell'ombra per un periodo di tempo così esteso è facile immaginare che tutto sia condotto o commissionato da uno Stato.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan12 Marzo 2018, 15:30 #1
Kaspersky è russa, perfetto inglese, togliamo anche la Cina, chi rimane? Israele e più probabilmente USA. Non per nulla non vogliono i prodotti antivirus Kaspersky dalle loro parti.
BlueSmurf12 Marzo 2018, 16:14 #2

Chiariamo la situazione

La situazione è un po' meno grave. A prescindere che il prodotto era effettivamente vulnerabile, l'attacco andava a buon fine solo se si verificavano una serie di condizioni dettate principalmente dall'incompetenza di chi la programma.
Secondo quanto afferma Mikrotik:
Il software si installava sulle Mikrotik che avevano abilitato l'accesso al pannello di configurazione web che gira di default sulla porta 80. In genere, anche i meno esperti che usano questi dispositivi, è prassi disabilitare l'accesso dall'esterno a questa porta e comunque cambiarla su una non standard. Inoltre la config di default blocca l'accesso da remoto.
Il download sul computer della DLL incriminata avviene solo sulle versioni vecchissime di winbox
Sono soggette all'attacco le versioni di ROS fino a Marzo 2017 RouterOS v6.38.5. Considerando che mediamente c'è un aggiornamento ogni mese e mezzo.

forum.mikrotik.com/viewtopic.php?t=131748
Zenida12 Marzo 2018, 22:48 #3
Con tutto quello che si può dire dei Russi c'è da aggiungere che i ricercatori di Kaspersky sono dei draghi. Nella mia immaginazione vedo dei laboratori super protetti con profili d'alto livello come solo un'agenzia governativa (e non un'azienda privata) può permettersi

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^