Slingshot APT

Slingshot APT ir nosaukums, kas dots ļoti sarežģītai hakeru grupai, kas ir atbildīga par sarežģītu datu eksfiltrācijas draudu izvietošanu. Savas darbības rakstura dēļ. infosec pētnieki uzskata, ka Slingshot APT mērķis ir korporatīvā spiegošana. Hakeru izmantotās metodes liecina, ka viņi ir pavadījuši daudz laika, veidojot savu ļaunprātīgās programmatūras rīku komplektu. Grupas darbība ir turpinājusies no 2012. gada līdz vismaz 2018. gadam.

Slingshot izveidotā uzbrukuma platforma ietver vairākus posmus un vairākus kompromisa vektorus. Viena no apstiprinātajām metodēm bija, izmantojot Mikrotik maršrutētājus, kas ir modificēti, lai iekļautu bojātu komponentu, ko lejupielādēja Winbox Loader — likumīga pārvaldības programmatūra, ko izmanto Mikrotik konfigurēšanai. Kad lietotājs palaiž Winbox Loader, tas izveido savienojumu ar apdraudētajiem maršrutētājiem un lejupielādē inficētos dinamiskās bibliotēkas failus (.DLL) upura datorā. Viens no .DLL failiem ar nosaukumu "ipv4.dll" darbojas kā pilinātājs papildu ļaunprātīgas programmatūras moduļiem, izveidojot savienojumu ar cieto kodu IP un portu. Leģitīmā Windows bibliotēka “scesrv.dll” tiks aizstāta ar bojātu pretenderu, kura izmērs ir tieši tāds pats.

Lielāko daļu kaitīgo darbību veic divi sarežģīti moduļi ar nosaukumu “Cahnadr” un “GollumApp”, kas darbojas vienlaikus. "Cahnadr", kas pazīstams arī kā Ndriver, ir kodola modulis, kas atbild par zema līmeņa tīkla rutīnām, IO operācijām utt. Lai iegultu savu kodu kodola līmenī, Slingshot ļaunprātīgi izmanto likumīgus draiverus ar zināmām ievainojamībām, ielādējot tos un palaižot savu kodu cauri. ievainojamības (piemēram, CVE-2007-5633, CVE-2010-1592 un CVE-2009-0824). Piekļuves iegūšana tik zemā sistēmas līmenī ļauj hakeriem gandrīz neierobežoti kontrolēt apdraudētos datorus. Uzbrucēji varēja viegli apiet visus upura ieviestos aizsardzības līdzekļus. Jāņem vērā, ka 'Cahnadr' spēj veikt savas apdraudošās funkcijas, neizraisot sistēmas avāriju vai neizraisot zilu kļūdu ekrānu.

Otrs Slingshot modulis — GollumApp — ir daudz sarežģītāks, ietverot vairāk nekā 1500 lietotāja definētas funkcijas. Tā uzdevums ir iestatīt draudu noturības mehānismu, manipulēt ar failu sistēmu apdraudētajā ierīcē, kā arī apkalpot komunikāciju ar Command-and-Control (C2, C&C) infrastruktūru.

Slingshot apkopo ievērojamu daudzumu informācijas no apdraudētajām sistēmām. Ļaunprātīga programmatūra var iegūt tastatūras datus, tīkla datus, USB savienojumus, paroles, lietotājvārdus, piekļūt starpliktuvei, uzņemt ekrānuzņēmumus utt. Fakts, ka Slingshot ir kodola līmeņa piekļuve, nozīmē, ka uzbrucēji var savākt visu, ko vēlas, piemēram, kredītu/ debetkaršu dati, sociālās apdrošināšanas numuri un paroles. Visi savāktie dati tiek izfiltrēti, izmantojot standarta tīkla kanālus. Ļaunprātīga programmatūra slēpj savu neparasto trafiku likumīgos atzvanos, pārbaudot visas Slingshot pakotnes un atgriežot lietotājam tikai filtrētu parasto trafiku un visas iespējamās instalētās sniffer lietojumprogrammas.