Slingshot APT

Slingshot APT on nimi, mis on antud kõrgelt kogenud häkkerite rühmale, kes vastutab keeruka andmete väljafiltreerimise ohu juurutamise eest. Oma tegevuse iseloomu tõttu. Infoseci teadlased usuvad, et Slingshot APT eesmärk on korporatiivne spionaaž. Häkkerite kasutatud meetodid näitavad, et nad on kulutanud palju aega oma pahavara tööriistakomplekti loomisele. Rühma tegevus on jätkunud 2012. aastast vähemalt 2018. aastani.

Slingshoti loodud ründeplatvorm hõlmab mitut etappi ja mitut kompromissi vektorit. Üks kinnitatud meetod oli Mikrotiki ruuterite kaudu, mida on muudetud nii, et need sisaldaksid rikutud komponenti, mille on alla laadinud Winbox Loader, Mikrotiku konfigureerimiseks kasutatav seaduslik haldustarkvara. Kui kasutaja käivitab Winbox Loaderi, loob see ühenduse ohustatud ruuteritega ja laadib nakatunud dünaamilised raamatukogufailid (.DLL) ohvri arvutisse alla. Üks .DLL-failidest nimega 'ipv4.dll' toimib täiendavate pahavaramoodulite tilgutajana, ühendades need kõvakoodiga IP ja pordiga. Õiguspärane Windowsi teek scesrv.dll asendatakse rikutud teesklejaga, mille suurus on täpselt sama.

Suurema osa kahjulikust tegevusest viivad läbi kaks keerukat moodulit nimega "Cahnadr" ja "GollumApp", mis töötavad paralleelselt. "Cahnadr", tuntud ka kui Ndriver, on kerneli moodul, mis vastutab madala taseme võrgurutiinide, IO-toimingute jms eest. Koodi manustamiseks kerneli tasemel kasutab Slingshot kuritarvitades teadaolevate haavatavustega legitiimseid draivereid, laadides need ja käivitades oma koodi läbi. haavatavused (nt CVE-2007-5633, CVE-2010-1592 ja CVE-2009-0824). Juurdepääsu saamine nii madalal süsteemitasemel võimaldab häkkeritel olla peaaegu piiramatu kontroll ohustatud arvutite üle. Ründajad võivad kergesti mööda minna ohvri rakendatud kaitsemeetmetest. Tuleb märkida, et 'Cahnadr' on võimeline täitma oma ähvardavaid funktsioone ilma süsteemi kokkujooksmist või sinist veaekraani põhjustamata.

Teine Slingshoti moodul – GollumApp – on palju keerulisem, sisaldades üle 1500 kasutaja määratud funktsiooni. Selle ülesandeks on ohu püsivusmehhanismi seadistamine, ohustatud seadme failisüsteemiga manipuleerimine, samuti Command-and-Control (C2, C&C) infrastruktuuriga suhtlemise haldamine.

Slingshot kogub ohustatud süsteemidest märkimisväärse hulga teavet. Pahavara võib hankida klaviatuuriandmeid, võrguandmeid, USB-ühendusi, paroole, kasutajanimesid, pääseda juurde lõikelauale, teha ekraanipilte jne. Asjaolu, et Slingshotil on kerneli tasemel juurdepääs, tähendab, et ründajad võivad koguda kõike, mida nad soovivad, näiteks krediiti/ deebetkaardi andmed, sotsiaalkindlustuse numbrid ja paroolid. Kõik kogutud andmed eraldatakse standardsete võrgukanalite kaudu. Pahavara peidab oma ebatavalise liikluse seaduslike tagasihelistamistena, kontrollib kõiki Slingshoti pakette ja tagastab kasutajale ainult filtreeritud tavalise liikluse ja võimalikud installitud nuusutamisrakendused.