Slingshot APT

Το Slingshot APT είναι το όνομα που δόθηκε σε μια εξαιρετικά εξελιγμένη ομάδα χάκερ που είναι υπεύθυνη για την ανάπτυξη μιας πολύπλοκης απειλής διείσδυσης δεδομένων. Λόγω της φύσης των δραστηριοτήτων της. Οι ερευνητές της infosec πιστεύουν ότι ο στόχος του Slingshot APT είναι η εταιρική κατασκοπεία. Οι μέθοδοι που χρησιμοποιήθηκαν από τους χάκερ δείχνουν ότι έχουν αφιερώσει πολύ χρόνο στη δημιουργία της εργαλειοθήκης κακόβουλου λογισμικού τους. Οι δραστηριότητες του ομίλου συνεχίστηκαν από το 2012 έως τουλάχιστον το 2018.

Η πλατφόρμα επίθεσης που δημιουργήθηκε από το Slingshot περιλαμβάνει πολλαπλά στάδια και πολλούς φορείς συμβιβασμού. Μια επιβεβαιωμένη μέθοδος ήταν μέσω των δρομολογητών Mikrotik που έχουν τροποποιηθεί ώστε να περιλαμβάνουν ένα κατεστραμμένο στοιχείο που έχει ληφθεί από το Winbox Loader, ένα νόμιμο λογισμικό διαχείρισης που χρησιμοποιείται για τη διαμόρφωση του Mikrotik. Όταν ο χρήστης εκτελεί το Winbox Loader, συνδέεται με τους παραβιασμένους δρομολογητές και πραγματοποιεί λήψη μολυσμένων Dynamic LibraryFiles (.DLL) στον υπολογιστή του θύματος. Ένα από τα αρχεία. Η νόμιμη βιβλιοθήκη των Windows 'scesrv.dll' θα αντικατασταθεί με έναν κατεστραμμένο υποκριτή που έχει ακριβώς το ίδιο μέγεθος.

Το μεγαλύτερο μέρος της επιβλαβούς δραστηριότητας εκτελείται από δύο εξελιγμένες μονάδες που ονομάζονται «Cahnadr» και «GollumApp» που λειτουργούν παράλληλα. Το 'Cahnadr', επίσης γνωστό ως Ndriver, είναι μια λειτουργική μονάδα πυρήνα υπεύθυνη για ρουτίνες δικτύου χαμηλού επιπέδου, λειτουργίες IO, κ.λπ. τα τρωτά σημεία (όπως CVE-2007-5633, CVE-2010-1592 και CVE-2009-0824). Η απόκτηση πρόσβασης σε ένα τόσο χαμηλό επίπεδο συστήματος επιτρέπει στους χάκερ να έχουν σχεδόν απεριόριστο έλεγχο στους παραβιασμένους υπολογιστές. Οι επιτιθέμενοι θα μπορούσαν εύκολα να παρακάμψουν κάθε προστασία που εφαρμόζει το θύμα. Πρέπει να σημειωθεί ότι το 'Cahnadr' είναι σε θέση να εκτελεί τις απειλητικές λειτουργίες του χωρίς να καταρρεύσει το σύστημα ή να προκαλέσει μπλε οθόνη σφάλματος.

Η άλλη μονάδα Slingshot - GollumApp, είναι πολύ πιο περίπλοκη, περιλαμβάνει περισσότερες από 1500 λειτουργίες που καθορίζονται από τον χρήστη. Είναι επιφορτισμένο με τη ρύθμιση του μηχανισμού εμμονής της απειλής, τον χειρισμό του συστήματος αρχείων στη συσκευή που έχει παραβιαστεί, καθώς και τον χειρισμό της επικοινωνίας με την υποδομή Command-and-Control (C2, C&C).

Το Slingshot συλλέγει σημαντικό όγκο πληροφοριών από τα παραβιασμένα συστήματα. Το κακόβουλο λογισμικό μπορεί να λάβει δεδομένα πληκτρολογίου, δεδομένα δικτύου, συνδέσεις USB, κωδικούς πρόσβασης, ονόματα χρήστη, πρόσβαση στο πρόχειρο, λήψη στιγμιότυπων οθόνης κ.λπ. Το γεγονός ότι το Slingshot έχει πρόσβαση σε επίπεδο πυρήνα σημαίνει ότι οι εισβολείς θα μπορούσαν ενδεχομένως να συλλέξουν οτιδήποτε θέλουν, όπως πίστωση/ στοιχεία χρεωστικής κάρτας, αριθμούς κοινωνικής ασφάλισης και κωδικούς πρόσβασης. Όλα τα δεδομένα που συλλέγονται εξάγονται μέσω τυπικών καναλιών δικτύου. Το κακόβουλο λογισμικό κρύβει την ανώμαλη επισκεψιμότητά του σε νόμιμες ανακλήσεις, πραγματοποιώντας ελέγχους για τυχόν πακέτα Slingshot και επιστρέφοντας μόνο τη φιλτραρισμένη κανονική κίνηση στον χρήστη και τυχόν εφαρμογές sniffer που ενδέχεται να εγκατασταθούν.