Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
Mar 12, 2018 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, Minacce, News, RSS 1
Se dovessero scommettere sulla paternità di Slingshot, il software spia individuato in questi giorni dai ricercatori di Kaspersky, gli analisti punterebbero tutto sull’Equation Group, il team di cyber-spioni interno ai servizi segreti USA.
Il motivo? Stando a quanto si legge nel report pubblicato sul sito ufficiale della società di sicurezza russa, Slingshot è uno dei malware più complessi che siano mai stati individuati. Non solo: per diffondersi utilizza alcune tecniche mai viste prima.
I ricercatori lo definiscono come un APT (Advanced Persistent Threat) composto da diversi moduli, che consentono ai suoi autori di intercettare il traffico Internet e rubare qualsiasi informazione memorizzata sul PC attraverso una serie di strumenti praticamente impossibili da individuare.
Ma andiamo con ordine. Stando alla ricostruzione di Kaspersky, Slingshot è stato diffuso attraverso un vettore di attacco inusuale: una vulnerabilità nei router MikroTik che ha permesso ai pirati di iniettare una DLL infetta colpendo direttamente il computer dell’amministratore.
Grazie a questa tecnica di attacco, in pratica, il PC che si collega all’interfaccia di controllo del router attraverso Winbox Loader (il software usato dai dispositivi MikroTik per la configurazione) viene compromesso attraverso l’iniezione di ipv4.dll, un componente che viene eseguito in memoria e avvia il download di altro codice sul computer.
La tecnica di attacco usata per distribuire Slingshot è decisamente inusuale. Secondo gli analisti i pirati informatici hanno selezionato con cura i loro obiettivi.
I ricercatori, però, non escludono che il malware sia stato diffuso anche con altre tecniche. In alcuni casi, infatti, pur avendo individuato la presenza di Slingshot gli analisti non sono riusciti a risalire al vettore di attacco iniziale. È possibile, per esempio, che abbiano utilizzato una tecnica simile per sfruttare router di altri produttori come “trampolino di lancio” per i loro attacchi.
Oltre a usare una tecnica di diffusione piuttosto anomala, Slingshot ha una struttura complessa che gli permette di ottenere persistenza e libertà d’azione fuori dal comune. I due moduli principali che vengono installati si chiamano Cahnadr e GollumApp.
Il primo agisce a livello di kernel e ha, di conseguenza, una libertà di azione impressionante. Tanto più che Cahnadr riesce a funzionare senza interferire con il sistema e provocarne il crash. Un risultato che i ricercatori definiscono “eccezionale”.
GollumApp, invece, mette a disposizione dei cyber-spioni più di 1.500 comandi che consentono loro di rubare qualsiasi tipo di informazione partendo dalla registrazione di tutto quello che viene digitato sulla tastiera, passando per l’uso della webcam e l’accesso a tutte le unità di memoria (USB comprese) collegate al PC.
I due moduli collaborano in perfetta sintonia. Cahnadr, in particolare, sembra agire come “guardaspalle” di GollumApp per impedire il rilevamento da parte degli antivirus.
Per passare inosservato, il malware utilizza un sistema di crittografia proprietario, che permette di rendere inaccessibili tutti i dati del suo codice. Utilizza anche alcuni accorgimenti molto specifici, come quello di disattivare il sistema di deframmentazione del disco, che potrebbe interferire con il suo funzionamento.
Insomma: si tratta di un malware estremamente evoluto e secondo i ricercatori il suo sviluppo ha richiesto tempo, impegno e investimenti notevoli. Qualcosa insomma che fa pensare al coinvolgimento di servizi segreti del livello del famigerato Equation Group, l’unità di cyber-spionaggio che opera per conto della National Security Agency (NSA) statunitense. Una pista, questa, rafforzata dal fatto che i commenti interni al codice sono scritti in inglese.
Anche la distribuzione geografica delle vittime lascia supporre che Slingshot sia uno strumento utilizzato dai servizi segreti. I comuni criminali sono raramente interessati ad attaccare paesi come Afghanistan, Libia e Iraq.
Ma da quanto sarebbe in circolazione Slingshot? L’esemplare più vecchio individuato da Kaspersky risalirebbe al 2012 e ne sarebbero state realizzate almeno 6 versioni diverse.
Mar 04, 2025 0
Gen 24, 2025 0
Dic 02, 2024 0
Nov 11, 2024 0
Apr 03, 2025 0
Apr 02, 2025 0
Apr 01, 2025 0
Mar 31, 2025 0
Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and Management...Mar 27, 2025 0
Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso...Mar 21, 2025 0
Il processo di penetration testing è ormai una pratica...Mar 13, 2025 0
Il bilancio delle vittime del ransomware Medusa è...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 03, 2025 0
Colt Technology Services ha annunciato di aver completato...Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and...Mar 31, 2025 0
I ricercatori di Infoblox hanno scoperto una nuova campagna...Mar 31, 2025 0
Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
One thought on “Il nuovo super-trojan di stato si chiama Slingshot ed è attivo dal 2012”