Slingshot APT

Slingshot APT je ime, dano zelo izpopolnjeni skupini hekerjev, ki so odgovorni za uvedbo kompleksne grožnje za eksfiltracijo podatkov. Zaradi narave dejavnosti. Raziskovalci infosec verjamejo, da je cilj Slingshot APT korporativno vohunjenje. Metode, ki so jih uporabili hekerji, kažejo, da so porabili precej časa za izdelavo svoje zbirke orodij za zlonamerno programsko opremo. Aktivnosti skupine so se nadaljevale od leta 2012 do vsaj leta 2018.

Napadna platforma, ki jo je vzpostavil Slingshot, vključuje več stopenj in več vektorjev kompromisa. Ena potrjena metoda je bila prek usmerjevalnikov Mikrotik, ki so bili spremenjeni tako, da vključujejo poškodovano komponento, ki jo je prenesel Winbox Loader, zakonita programska oprema za upravljanje, ki se uporablja za konfiguracijo Mikrotik. Ko uporabnik zažene Winbox Loader, se poveže z ogroženimi usmerjevalniki in prenese okužene datoteke Dynamic LibraryFiles (.DLL) v računalnik žrtve. Ena od datotek .DLL z imenom 'ipv4.dll' deluje kot odstranjevalec dodatnih modulov zlonamerne programske opreme, tako da se poveže s trdo kodiranim IP-jem in vrati. Legitimna knjižnica Windows 'scesrv.dll' bo zamenjana s poškodovanim pretendentom, ki ima popolnoma enako velikost.

Večino škodljive dejavnosti izvajata dva sofisticirana modula, imenovana 'Cahnadr' in 'GollumApp', ki delujeta v tandemu. 'Cahnadr', znan tudi kot Ndriver, je modul jedra, ki je odgovoren za omrežne rutine na nizki ravni, operacije IO itd. Za vdelavo svoje kode na ravni jedra Slingshot zlorablja zakonite gonilnike z znanimi ranljivostmi, tako da jih naloži in izvaja svojo kodo skozi ranljivosti (kot so CVE-2007-5633, CVE-2010-1592 in CVE-2009-0824). Pridobitev dostopa na tako nizki sistemski ravni omogoča hekerjem skoraj neomejen nadzor nad ogroženimi računalniki. Napadalci so zlahka zaobšli vse zaščite, ki jih izvaja žrtev. Treba je opozoriti, da je 'Cahnadr' sposoben opravljati svoje nevarne funkcije, ne da bi pri tem zrušil sistem ali povzročil modri zaslon z napako.

Drugi modul Slingshot - GollumApp, je veliko bolj zapleten, vključno z več kot 1500 uporabniško definiranimi funkcijami. Zadolžen je za vzpostavitev mehanizma obstojnosti grožnje, manipulacijo datotečnega sistema na ogroženi napravi, kot tudi upravljanje komunikacije z infrastrukturo za upravljanje in nadzor (C2, C&C).

Slingshot zbira veliko količino informacij iz ogroženih sistemov. Zlonamerna programska oprema lahko pridobi podatke s tipkovnice, omrežne podatke, povezave USB, gesla, uporabniška imena, dostop do odložišča, naredi posnetke zaslona itd. Dejstvo, da ima Slingshot dostop na ravni jedra, pomeni, da bi napadalci lahko zbrali vse, kar želijo, na primer kredit/ podrobnosti debetne kartice, številke socialnega zavarovanja in gesla. Vsi zbrani podatki se izločijo po standardnih omrežnih kanalih. Zlonamerna programska oprema skriva svoj nenavaden promet v zakonitih povratnih klicih, izvajanju preverjanj za vse pakete Slingshot in uporabniku vrača samo filtriran običajni promet in morebitne aplikacije za vohanje, ki bi lahko bile nameščene.