Il nuovo super-trojan di stato si chiama Slingshot ed è attivo dal 2012

Mar 12, 2018 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, Minacce, News, RSS 1

È un malware estremamente complesso, che si installa anche al livello del kernel per passare inosservato. I ricercatori: “mai visto nulla di simile”.

Se dovessero scommettere sulla paternità di Slingshot, il software spia individuato in questi giorni dai ricercatori di Kaspersky, gli analisti punterebbero tutto sull’Equation Group, il team di cyber-spioni interno ai servizi segreti USA.

Il motivo? Stando a quanto si legge nel report pubblicato sul sito ufficiale della società di sicurezza russa, Slingshot è uno dei malware più complessi che siano mai stati individuati. Non solo: per diffondersi utilizza alcune tecniche mai viste prima.

I ricercatori lo definiscono come un APT (Advanced Persistent Threat) composto da diversi moduli, che consentono ai suoi autori di intercettare il traffico Internet e rubare qualsiasi informazione memorizzata sul PC attraverso una serie di strumenti praticamente impossibili da individuare.

Ma andiamo con ordine. Stando alla ricostruzione di Kaspersky, Slingshot è stato diffuso attraverso un vettore di attacco inusuale: una vulnerabilità nei router MikroTik che ha permesso ai pirati di iniettare una DLL infetta colpendo direttamente il computer dell’amministratore.

Grazie a questa tecnica di attacco, in pratica, il PC che si collega all’interfaccia di controllo del router attraverso Winbox Loader (il software usato dai dispositivi MikroTik per la configurazione) viene compromesso attraverso l’iniezione di ipv4.dll, un componente che viene eseguito in memoria e avvia il download di altro codice sul computer.

La tecnica di attacco usata per distribuire Slingshot è decisamente inusuale. Secondo gli analisti i pirati informatici hanno selezionato con cura i loro obiettivi.

I ricercatori, però, non escludono che il malware sia stato diffuso anche con altre tecniche. In alcuni casi, infatti, pur avendo individuato la presenza di Slingshot gli analisti non sono riusciti a risalire al vettore di attacco iniziale. È possibile, per esempio, che abbiano utilizzato una tecnica simile per sfruttare router di altri produttori come “trampolino di lancio” per i loro attacchi.

Oltre a usare una tecnica di diffusione piuttosto anomala, Slingshot ha una struttura complessa che gli permette di ottenere persistenza e libertà d’azione fuori dal comune. I due moduli principali che vengono installati si chiamano Cahnadr e GollumApp.

Il primo agisce a livello di kernel e ha, di conseguenza, una libertà di azione impressionante. Tanto più che Cahnadr riesce a funzionare senza interferire con il sistema e provocarne il crash. Un risultato che i ricercatori definiscono “eccezionale”.

GollumApp, invece, mette a disposizione dei cyber-spioni più di 1.500 comandi che consentono loro di rubare qualsiasi tipo di informazione partendo dalla registrazione di tutto quello che viene digitato sulla tastiera, passando per l’uso della webcam e l’accesso a tutte le unità di memoria (USB comprese) collegate al PC.

I due moduli collaborano in perfetta sintonia. Cahnadr, in particolare, sembra agire come “guardaspalle” di GollumApp per impedire il rilevamento da parte degli antivirus.

Per passare inosservato, il malware utilizza un sistema di crittografia proprietario, che permette di rendere inaccessibili tutti i dati del suo codice. Utilizza anche alcuni accorgimenti molto specifici, come quello di disattivare il sistema di deframmentazione del disco, che potrebbe interferire con il suo funzionamento.

Insomma: si tratta di un malware estremamente evoluto e secondo i ricercatori il suo sviluppo ha richiesto tempo, impegno e investimenti notevoli. Qualcosa insomma che fa pensare al coinvolgimento di servizi segreti del livello del famigerato Equation Group, l’unità di cyber-spionaggio che opera per conto della National Security Agency (NSA) statunitense. Una pista, questa, rafforzata dal fatto che i commenti interni al codice sono scritti in inglese.

Anche la distribuzione geografica delle vittime lascia supporre che Slingshot sia uno strumento utilizzato dai servizi segreti. I comuni criminali sono raramente interessati ad attaccare paesi come Afghanistan, Libia e Iraq.

Ma da quanto sarebbe in circolazione Slingshot? L’esemplare più vecchio individuato da Kaspersky risalirebbe al 2012 e ne sarebbero state realizzate almeno 6 versioni diverse.

Condividi l'articolo