Slingshot APT

Slingshot APT on nimi erittäin kehittyneelle hakkeriryhmälle, joka on vastuussa monimutkaisen tietojen suodatusuhan käyttöönotosta. Toimintansa luonteesta johtuen. infosecin tutkijat uskovat, että Slingshot APT:n tavoitteena on yritysvakoilu. Hakkereiden käyttämät menetelmät osoittavat, että he ovat käyttäneet paljon aikaa haittaohjelmatyökalujensa luomiseen. Ryhmän toiminta on jatkunut vuodesta 2012 ainakin vuoteen 2018.

Slingshotin luoma hyökkäysalusta sisältää useita vaiheita ja useita kompromissivektoreita. Yksi vahvistettu menetelmä oli Mikrotik-reitittimien kautta, joita on muokattu sisältämään vioittunut komponentti, jonka on ladannut Winbox Loader, Mikrotikin määrittämiseen käytettävä laillinen hallintaohjelmisto. Kun käyttäjä suorittaa Winbox Loaderin, se muodostaa yhteyden vaarantuneisiin reitittimiin ja lataa tartunnan saaneita Dynamic LibraryFiles (.DLL) -tiedostoja uhrin tietokoneelle. Yksi .DLL-tiedostoista nimeltä "ipv4.dll" toimii lisähaittaohjelmamoduuleiden tiputtajana muodostamalla yhteyden kovakoodattuihin IP-osoitteisiin ja porttiin. Aito Windows-kirjasto "scesrv.dll" korvataan vioittuneella teeskentelijällä, jonka koko on täsmälleen sama.

Suurin osa haitallisesta toiminnasta suoritetaan kahdella kehittyneellä moduulilla, nimeltään "Cahnadr" ja "GollumApp", jotka toimivat rinnakkain. "Cahnadr", joka tunnetaan myös nimellä Ndriver, on ydinmoduuli, joka vastaa matalan tason verkkorutiineista, IO-toiminnoista jne. Upottaakseen koodinsa ydintasolle Slingshot käyttää väärin laillisia ohjaimia, joissa on tunnettuja haavoittuvuuksia lataamalla ne ja suorittamalla koodinsa läpi. haavoittuvuudet (kuten CVE-2007-5633, CVE-2010-1592 ja CVE-2009-0824). Pääsyn hankkiminen näin alhaisella järjestelmätasolla antaa hakkereille mahdollisuuden hallita vaarantuneita tietokoneita lähes rajattomasti. Hyökkääjät voivat helposti ohittaa kaikki uhrin toteuttamat suojat. On huomattava, että 'Cahnadr' pystyy suorittamaan uhkaavat tehtävänsä kaatumatta järjestelmää tai aiheuttamatta sinistä virhenäyttöä.

Toinen Slingshot-moduuli, GollumApp, on paljon monimutkaisempi ja sisältää yli 1500 käyttäjän määrittämää toimintoa. Sen tehtävänä on luoda uhan pysyvyysmekanismi, käsitellä vaarantuneen laitteen tiedostojärjestelmää sekä hoitaa kommunikaatio Command-and-Control (C2, C&C) -infrastruktuurin kanssa.

Slingshot kerää huomattavan määrän tietoa vaarantuneista järjestelmistä. Haittaohjelma voi hankkia näppäimistön tietoja, verkkotietoja, USB-yhteyksiä, salasanoja, käyttäjätunnuksia, käyttää leikepöytää, ottaa kuvakaappauksia jne. Slingshotin ydintason käyttöoikeus tarkoittaa, että hyökkääjät voivat kerätä mitä tahansa haluamaansa, kuten luotto-/ pankkikorttitiedot, sosiaaliturvatunnukset ja salasanat. Kaikki kerätyt tiedot suodatetaan tavallisten verkkokanavien kautta. Haittaohjelma piilottaa epänormaalin liikenteensä laillisilla takaisinkutsuilla, tarkastaa mahdolliset Slingshot-paketit ja palauttaa vain suodatetun normaalin liikenteen käyttäjälle ja mahdollisille mahdollisesti asennetuille nuuskimissovelluksille.