What is the Slingshot operation?

Slingshot: En avanceret cyberspionage-trussel

16/08/2016

Rating: 4.05 (5872 votes)

I den digitale skyggeverden findes der trusler, som opererer med en sådan finesse og kompleksitet, at de kan forblive uopdagede i årevis. En af disse er kendt som Slingshot-operationen, en yderst sofistikeret cyber-spionagekampagne, der blev afsløret af forskere fra Kaspersky Lab. Denne ondsindede software, aktiv fra mindst 2012 til februar 2018, har primært rettet sig mod ofre i Mellemøsten og Afrika og har benyttet sig af unikke og avancerede metoder til at infiltrere og udspionere sine mål med skræmmende effektivitet.

What is a Slingshot SL?
SL: The Slingshot SL is for those looking to take style to the next level. It delivers enhanced features, including additional style components and premium finishes from tip to tail. Add to that the Rockford Fosgate® 100w audio system—this ride will have you standing out from the crowd at any speed.
Indholdsfortegnelse

Opdagelsen af en skjult trussel

Vejen til at afdække Slingshot begyndte med fundet af et mistænkeligt keylogger-program. Forskerne hos Kaspersky Lab udviklede en adfærdsmæssig detektionssignatur for at se, om denne specifikke kode fandtes andre steder. Dette førte dem til en inficeret computer, hvor en mistænkelig fil ved navn scesrv.dll lå gemt i systemmappen. Ved første øjekast så filen legitim ud, men en dybere analyse afslørede, at den indeholdt indlejret ondsindet kode. Det mest alarmerende var, at denne fil blev indlæst af processen services.exe, en kernekomponent i Windows, der kører med de højeste systemprivilegier. Ved at forgifte denne biblioteksfil opnåede malwaren det samme niveau af adgang, hvilket gav den fuldstændig kontrol over offerets computer. Det stod klart for forskerne, at de havde at gøre med en ekstremt avanceret angriber, der havde fundet vej ind i selve hjertet af operativsystemet.

En unik angrebsvektor: Kompromitterede routere

Det måske mest bemærkelsesværdige ved Slingshot er dens usædvanlige angrebsmetode. Efterhånden som flere ofre blev identificeret, opdagede forskerne et mønster: Mange af de indledende infektioner skete gennem hackede routere. Angriberne bag Slingshot formåede at kompromittere routere og placere et ondsindet dynamisk link-bibliotek (DLL) på dem. Denne DLL fungerede som en downloader for andre ondsindede komponenter. Når en systemadministrator loggede ind for at konfigurere routeren, downloadede og kørte routerens administrationssoftware den ondsindede modul på administratorens computer. Denne metode er utrolig snedig, da den udnytter en betroet handling (konfiguration af netværksudstyr) til at plante malware. Præcis hvordan angriberne i første omgang fik adgang til at hacke routerne, er stadig ukendt, men det understreger sårbarheden i selv den mest grundlæggende netværksinfrastruktur.

Slingshots anatomi: Cahnadr og GollumApp

Efter en vellykket infektion installerer Slingshot en række moduler på offerets enhed. Blandt disse er to særligt store og kraftfulde komponenter: Cahnadr og GollumApp. Disse to moduler er tæt forbundne og arbejder sammen for at sikre malwarens overlevelse, indsamle information og sende data tilbage til angriberne. Cahnadr fungerer som et orkestreringsmodul, mens GollumApp indeholder de primære spionageværktøjer. Deres evne til at understøtte hinanden gør dem ekstremt modstandsdygtige over for fjernelse og detektion, hvilket skaber en vedvarende trussel på den inficerede enhed.

Formålet: Omfattende cyberspionage

Slingshots primære formål er uden tvivl cyberspionage. Malwarens kapaciteter er omfattende og designet til at indsamle så meget information som muligt. Analyser viser, at den indsamler en bred vifte af data, herunder:

  • Skærmbilleder (screenshots)
  • Tastaturanslag (keylogging)
  • Netværksdata
  • Gemte adgangskoder
  • Information om tilsluttede USB-enheder
  • Anden skrivebordsaktivitet
  • Data fra udklipsholderen

Da Slingshot opererer i kernel-mode, har den adgang til absolut alt på computeren. Den kan omgå sikkerhedsforanstaltninger og stjæle enhver ønsket information uden begrænsninger. Dette gør den til et formidabelt våben for enhver efterretningstjeneste eller angrebsgruppe.

Why is Slingshot being developed?
Slingshot is being developed as a marketing tool to help businesses get off the ground.

Avancerede undvigelsesteknikker

En af grundene til, at Slingshot kunne operere i mindst seks år uden at blive opdaget, er dens exceptionelle evne til at undgå detektion. Den anvender en række avancerede teknikker for at forblive skjult:

  • Kryptering: Alle tekststrenge i dens moduler er krypterede, hvilket gør analyse vanskelig.
  • Direkte systemkald: Den kalder systemtjenester direkte i stedet for at bruge standard API'er. Dette gør det muligt at omgå mange sikkerhedsprodukters overvågningsmekanismer.
  • Anti-debugging: Malwaren indeholder teknikker til at opdage, om den bliver analyseret i et debugging-miljø, og kan ændre sin adfærd eller lukke ned for at undgå detektion.
  • Selektiv procesinjektion: Den vælger, hvilken proces den skal injicere sin kode i, baseret på hvilke sikkerhedsløsninger der er installeret og kører på systemet.
  • Krypteret virtuelt filsystem: Dens egne filer opbevares i et skjult og krypteret filsystem, hvilket gør dem usynlige for almindelige filscannere.

Passiv bagdør og kommunikation

Selv måden, hvorpå Slingshot kommunikerer med sine operatører (Command and Control, C&C), er designet til at være usynlig. Den har ikke en hårdkodet C&C-serveradresse. I stedet fungerer den som en passiv bagdør, der overvåger al netværkstrafik i kernel-mode. Den leder efter netværkspakker, der indeholder to specifikke, hårdkodede "magiske konstanter" i headeren. Når en sådan pakke opdages, ved malwaren, at den indeholder C&C-adressen. Først derefter etablerer den en krypteret kommunikationskanal til serveren og begynder at sende de stjålne data. Denne passive metode betyder, at der ikke er nogen mistænkelig udgående trafik, før operatørerne aktivt vælger at kontakte malwaren.

FunktionBeskrivelse
AngrebsvektorKompromitterede routere, der inficerer administratorers computere.
OperationsniveauKernel-mode (fuld systemkontrol).
HovedformålCyberspionage og omfattende dataindsamling.
UndvigelsesteknikkerKryptering, anti-debugging, direkte systemkald, passiv C&C.
VarighedAktiv i mindst 6 år (2012-2018).

Hvem står bag Slingshot?

De ondsindede filer, som forskerne undersøgte, var mærket som 'version 6.x', hvilket tyder på, at truslen har eksisteret og er blevet udviklet over en lang periode. Den tid, de færdigheder og de omkostninger, der er forbundet med at skabe et så komplekst værktøjssæt som Slingshot, er sandsynligvis ekstremt høje. Samlet set peger disse spor på, at gruppen bag Slingshot er højt organiseret, professionel og sandsynligvis statsstøttet. Tekstspor i koden tyder på, at udviklerne er engelsktalende. Det er dog vigtigt at understrege, at præcis attribuering i cybersikkerhedsverdenen er notorisk vanskelig og ofte umulig at fastslå med sikkerhed.

Ofre og geografisk spredning

Indtil videre har forskere identificeret omkring 100 ofre for Slingshot og dens relaterede moduler. Disse ofre er primært lokaliseret i Kenya, Yemen, Afghanistan, Libyen, Congo, Jordan, Tyrkiet, Irak, Sudan, Somalia og Tanzania. De fleste af ofrene ser ud til at være målrettede enkeltpersoner snarere end organisationer, men der er også nogle regeringsorganisationer og institutioner blandt de ramte. Kenya og Yemen tegner sig for de fleste af de observerede ofre.

Sådan beskytter du dig

Selvom Slingshot er en målrettet og avanceret trussel, fremhæver den vigtigheden af grundlæggende sikkerhedsforanstaltninger. Kaspersky Lab anbefaler følgende for at undgå at blive offer for lignende angreb:

  • Opdater din router: Brugere af Mikrotik-routere bør opgradere til den nyeste softwareversion så hurtigt som muligt for at beskytte sig mod kendte sårbarheder.
  • Brug en anerkendt sikkerhedsløsning: Implementer en gennemprøvet sikkerhedsløsning i virksomhedsklassen kombineret med teknologier mod målrettede angreb. Disse løsninger kan opdage avancerede angreb ved at analysere netværksanomalier.
  • Adgang til trusselsinformation: Sørg for, at sikkerhedspersonale har adgang til de seneste trusselsdata. Dette giver dem værktøjer til at forske i og forhindre målrettede angreb.
  • Overvej administrerede sikkerhedstjenester: Hvis du opdager tidlige tegn på et målrettet angreb, kan administrerede beskyttelsestjenester proaktivt opdage avancerede trusler og reducere den tid, en angriber er i dit netværk.

Ofte Stillede Spørgsmål

Hvad er Slingshot-operationen?

Det er en yderst sofistikeret og langvarig cyberspionage-kampagne, der primært har rettet sig mod enkeltpersoner og organisationer i Mellemøsten og Afrika. Den var aktiv fra mindst 2012 til 2018 og brugte avanceret malware til at stjæle data.

What is the Slingshot operation?
The Slingshot operation is a suspicious file named scesrv.dll, which was detected after researchers found a related keylogger program and created a behavioral detection signature. This triggered a detection on an infected computer.

Hvordan inficerer Slingshot computere?

Den primære metode er gennem kompromitterede routere. Når en administrator logger ind for at konfigurere en inficeret router, downloades en ondsindet modul til administratorens computer, hvilket starter infektionen.

Hvorfor er Slingshot så farlig?

Slingshot er farlig, fordi den opererer i 'kernel mode', hvilket giver den fuld kontrol over en inficeret enhed. Den bruger desuden en række avancerede teknikker til at forblive uopdaget i årevis, mens den stjæler enorme mængder følsomme data.

Er jeg personligt i fare?

Kampagnen var meget målrettet mod specifikke personer i udvalgte lande. Chancen for, at en almindelig bruger er et mål, er lille. Dog understreger Slingshots eksistens vigtigheden af at sikre alle netværksenheder, især routere. At holde din routers firmware opdateret er et afgørende sikkerhedstrin for alle.

Hvis du vil læse andre artikler, der ligner Slingshot: En avanceret cyberspionage-trussel, kan du besøge kategorien Sundhed.

Go up