Slingshot sofisticato malware che attacca i router
Slingshot sofisticato malware che attacca i router
I ricercatori di sicurezza di Kaspersky Lab
hanno scoperto quello che potrebbe a tutti gli effetti essere
un altro ceppo di un malware sponsorizzato da qualche stato
con la differenza che risulta essere più avanzato di molti altri.
Soprannominato Slingshot, il virus spia i PC attraverso un attacco
multilivello che ha come obiettivo i router.
Tuttavia, ad essere interessati però sarebbero solo i router MikroTik
Il codice sostituisce dapprima un file di libreria con una versione malevola che scarica altri
componenti dannosi e quindi lancia un attacco sui computer.
Uno, Canhadr, esegue un codice kernel di basso livello che dà effettivamente libero
accesso all’intruso, incluso l’accesso allo storage ed alla memoria.
Dopodichè, GollumApp, si concentra sul livello utente e include il codice per coordinare gli
sforzi, gestire il file system e mantenere vivo il malware.
Slingshot sofisticato malware che attacca i router
Tuttavia, Kaspersky descrive questi due elementi come dei veri e propri “capolavori” per
diverse ragioni La prima è da ricercare nel fatto che non è un’impresa da poco eseguire
codice del kernel senza crash.
Slingshot memorizza anche i suoi file malware in un file system virtuale crittografato
crittografa ogni stringa di testo nei suoi moduli, esegui i servizi direttamente, e spegne le
componenti anche quando gli strumenti di ricerca malware sono attivi.
Se esiste un metodo comune per rilevare il malware o identificarne il comportamento
Slingshot con ogni probabilità ha qualche sistema di protezione.
Ecco perchè per i ricercatori non rappresenta una sorpresa il fatto che il codice sia attivo
dal 2012 e fino ad oggi nessuno ne fosse a conoscenza.
Inoltre, Nel rapporto si legge che il malware può realmente rubare tutto ciò che vuole, ed è
in grado di intercettare anche gli input della tastiera, le password, le schermate
ed il traffico di rete.
Slingshot sofisticato malware che attacca i router
Non è chiaro come Slingshot entri nel sistema, oltre a sfruttare il software di gestione del
router La combinazione di tutti questi elementi porta Kaspersky
a credere che si tratti di un attacco sponsorizzato da qualche stato, e mentre tutti gli indizi
portano al Regno Unito, almeno al momento la matrice non sembra essere chiara.
Inoltre, Ad essere colpiti al momento sarebbero circa 100 persone, incluse istituzioni
governative che provengono da Afghanistan, Iraq, Giordania, Kenya, Libia e Turchia.
Slingshot sofisticato malware che attacca i router MikroTik
Proprio tali indicazioni lasciano intendere che uno dei paesi come Australia, Canada
Nuova Zelanda, Regno Unito e Stati Uniti potrebbe utilizzare il malware per tenere
sott’occhio le nazioni collegate al terrorismo.