Slingshot APT

Slingshot APT és el nom donat a un grup de pirates informàtics molt sofisticats responsables del desplegament d'una complexa amenaça d'exfiltració de dades. Per la naturalesa de les seves activitats. Els investigadors de l'infosec creuen que l'objectiu del Slingshot APT és l'espionatge corporatiu. Els mètodes utilitzats pels pirates informàtics mostren que han passat un temps considerable elaborant el seu conjunt d'eines de programari maliciós. Les activitats del grup han continuat des del 2012 fins almenys el 2018.

La plataforma d'atac establerta per Slingshot implica múltiples etapes i diversos vectors de compromís. Un mètode confirmat va ser mitjançant encaminadors Mikrotik que s'han modificat per incloure un component danyat descarregat pel Winbox Loader, un programari de gestió legítim utilitzat per a la configuració de Mikrotik. Quan l'usuari executa Winbox Loader, es connecta als encaminadors compromesos i descarrega Dynamic LibraryFiles (.DLL) infectats a l'ordinador de la víctima. Un dels fitxers .DLL anomenat "ipv4.dll" actua com a comptador per a mòduls de programari maliciós addicionals connectant-se a una IP i un port codificats. La biblioteca legítima de Windows 'scesrv.dll' es substituirà per un simulador danyat que tingui exactament la mateixa mida.

La major part de l'activitat nociva es realitza mitjançant dos mòduls sofisticats anomenats 'Cahnadr' i 'GollumApp' que funcionen conjuntament. 'Cahnadr', també conegut com Ndriver, és un mòdul del nucli responsable de rutines de xarxa de baix nivell, operacions d'IO, etc. Per incrustar el seu codi al nivell del nucli, Slingshot abusa dels controladors legítims amb vulnerabilitats conegudes carregant-los i executant el seu codi a través les vulnerabilitats (com ara CVE-2007-5633, CVE-2010-1592 i CVE-2009-0824). Obtenir accés a un nivell de sistema tan baix permet als pirates informàtics tenir un control gairebé il·limitat sobre els ordinadors compromesos. Els atacants podrien evitar fàcilment qualsevol protecció implementada per la víctima. Cal tenir en compte que 'Cahnadr' és capaç de realitzar les seves funcions amenaçadores sense bloquejar el sistema ni provocar una pantalla d'error blava.

L'altre mòdul Slingshot, GollumApp, és molt més complex, amb més de 1500 funcions definides per l'usuari. Té l'encàrrec de configurar el mecanisme de persistència de l'amenaça, la manipulació del sistema de fitxers del dispositiu compromès, així com gestionar la comunicació amb la infraestructura de comandament i control (C2, C&C).

Slingshot recull una quantitat important d'informació dels sistemes compromesos. El programari maliciós pot obtenir dades del teclat, dades de xarxa, connexions USB, contrasenyes, noms d'usuari, accedir al porta-retalls, fer captures de pantalla, etc. El fet que Slingshot tingui accés a nivell del nucli significa que els atacants podrien recollir qualsevol cosa que vulguin, com ara crèdit/ dades de la targeta de dèbit, números de la seguretat social i contrasenyes. Totes les dades recopilades s'exfiltran a través de canals de xarxa estàndard. El programari maliciós amaga el seu trànsit anormal en devolucions de trucada legítimes, realitza comprovacions de qualsevol paquet Slingshot i retorna només el trànsit normal filtrat a l'usuari i a qualsevol aplicació potencial d'sniffer que es pugui instal·lar.