Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mar 12, 2018 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, Minacce, News, RSS 1
Se dovessero scommettere sulla paternità di Slingshot, il software spia individuato in questi giorni dai ricercatori di Kaspersky, gli analisti punterebbero tutto sull’Equation Group, il team di cyber-spioni interno ai servizi segreti USA.
Il motivo? Stando a quanto si legge nel report pubblicato sul sito ufficiale della società di sicurezza russa, Slingshot è uno dei malware più complessi che siano mai stati individuati. Non solo: per diffondersi utilizza alcune tecniche mai viste prima.
I ricercatori lo definiscono come un APT (Advanced Persistent Threat) composto da diversi moduli, che consentono ai suoi autori di intercettare il traffico Internet e rubare qualsiasi informazione memorizzata sul PC attraverso una serie di strumenti praticamente impossibili da individuare.
Ma andiamo con ordine. Stando alla ricostruzione di Kaspersky, Slingshot è stato diffuso attraverso un vettore di attacco inusuale: una vulnerabilità nei router MikroTik che ha permesso ai pirati di iniettare una DLL infetta colpendo direttamente il computer dell’amministratore.
Grazie a questa tecnica di attacco, in pratica, il PC che si collega all’interfaccia di controllo del router attraverso Winbox Loader (il software usato dai dispositivi MikroTik per la configurazione) viene compromesso attraverso l’iniezione di ipv4.dll, un componente che viene eseguito in memoria e avvia il download di altro codice sul computer.
I ricercatori, però, non escludono che il malware sia stato diffuso anche con altre tecniche. In alcuni casi, infatti, pur avendo individuato la presenza di Slingshot gli analisti non sono riusciti a risalire al vettore di attacco iniziale. È possibile, per esempio, che abbiano utilizzato una tecnica simile per sfruttare router di altri produttori come “trampolino di lancio” per i loro attacchi.
Oltre a usare una tecnica di diffusione piuttosto anomala, Slingshot ha una struttura complessa che gli permette di ottenere persistenza e libertà d’azione fuori dal comune. I due moduli principali che vengono installati si chiamano Cahnadr e GollumApp.
Il primo agisce a livello di kernel e ha, di conseguenza, una libertà di azione impressionante. Tanto più che Cahnadr riesce a funzionare senza interferire con il sistema e provocarne il crash. Un risultato che i ricercatori definiscono “eccezionale”.
GollumApp, invece, mette a disposizione dei cyber-spioni più di 1.500 comandi che consentono loro di rubare qualsiasi tipo di informazione partendo dalla registrazione di tutto quello che viene digitato sulla tastiera, passando per l’uso della webcam e l’accesso a tutte le unità di memoria (USB comprese) collegate al PC.
Per passare inosservato, il malware utilizza un sistema di crittografia proprietario, che permette di rendere inaccessibili tutti i dati del suo codice. Utilizza anche alcuni accorgimenti molto specifici, come quello di disattivare il sistema di deframmentazione del disco, che potrebbe interferire con il suo funzionamento.
Insomma: si tratta di un malware estremamente evoluto e secondo i ricercatori il suo sviluppo ha richiesto tempo, impegno e investimenti notevoli. Qualcosa insomma che fa pensare al coinvolgimento di servizi segreti del livello del famigerato Equation Group, l’unità di cyber-spionaggio che opera per conto della National Security Agency (NSA) statunitense. Una pista, questa, rafforzata dal fatto che i commenti interni al codice sono scritti in inglese.
Ma da quanto sarebbe in circolazione Slingshot? L’esemplare più vecchio individuato da Kaspersky risalirebbe al 2012 e ne sarebbero state realizzate almeno 6 versioni diverse.
Nov 11, 2024 0
Nov 07, 2024 0
Ott 02, 2024 0
Set 30, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...
One thought on “Il nuovo super-trojan di stato si chiama Slingshot ed è attivo dal 2012”