Scoperta una sofisticata minaccia utilizzata per il cyber-spionaggio in Medio Oriente e in Africa, attiva dal 2012 a febbraio 2018. Il malware, che i ricercatori hanno chiamato “Slingshot”, attacca e infetta le vittime attraverso router compromessi e può essere eseguito in modalità kernel, ottenendo il controllo completo sui dispositivi delle vittime. Secondo i ricercatori, molte delle tecniche utilizzate da questo gruppo di criminali sono uniche ed estremamente efficaci nella raccolta di informazioni all’insaputa dell’utente, poiché Slingshot agisce nascondendo il traffico in pacchetti di dati marcati che può intercettare senza lasciar traccia nelle comunicazioni quotidiane.
L’operazione Slingshot è stata scoperta grazie al ritrovamento di un programma keylogger sospetto e la creazione di una firma di rilevamento comportamentale – per vedere se quel codice comparisse da qualche altra parte. Questo ha permesso di rilevare un computer infetto con un file sospetto all’interno della cartella di sistema denominata scesrv.dll. L’analisi del file ha mostrato che, nonostante apparisse legittimo, il modulo scesrv.dll conteneva un codice dannoso. Poiché questa library è caricata da “services.exe”, un processo che ha privilegi di sistema, la library compromessa otteneva gli stessi privilegi. I ricercatori hanno, quindi, capito che un “intruso” si era fatto strada nel core del computer.
La cosa più importante di Slingshot è, probabilmente, il suo insolito vettore di attacco. Quando i ricercatori hanno scoperto il numero di vittime compromesse, hanno notato che molte sembravano essere state inizialmente infettate da router hackerati. In questi attacchi, sembra che il gruppo che si cela dietro Slingshot agisca compromettendo i router, e inserendo al loro interno una library di collegamenti dinamici dannosi, che in realtà sono un downloader per altri componenti dannosi. Quando un amministratore effettua il login per configurare il router, il software di gestione dello stesso scarica ed esegue il modulo dannoso sul computer in questione.
All’inizio il metodo utilizzato per hackerare i router è rimasto sconosciuto. Dopo l’infezione, Slingshot carica un numero di moduli sul dispositivo della vittima, inclusi i potenti Cahnadr e GollumApp: i due moduli sono connessi e in grado di supportarsi reciprocamente nella raccolta delle informazioni, nella persistenza e nell’esfiltrazione dei dati.
Il principale scopo di Slingshot sembra sia il cyberspionaggio: l’analisi suggerisce che Slingshot raccolga schermate, dati della tastiera, dati di rete, password, connessioni USB, altre attività del desktop, dati degli appunti e molto altro, sebbene l’accesso al kernel fornisca la possibilità di rubare tutto ciò che si voglia.
Questa minaccia avanzata e persistente comprende anche una serie di tecniche che consentono di eludere il rilevamento, tra cui la crittografia di tutte le stringhe dei suoi moduli, utilizzando direttamente i servizi di sistema per aggirare gli hook dei prodotti di sicurezza, attraverso una serie di tecniche anti-debug e selezionando quali processi indurre in base alla soluzione di sicurezza installata e in esecuzione.
Slingshot funziona come una backdoor passiva: non ha un indirizzo di comando e controllo (C&C) predefinito, ma lo può ottenere dall’operatore intercettando tutti i pacchetti di rete in modalità kernel e controllando se ci sono due costanti predefinite nell’intestazione. Se questo avviene, significa che quel pacchetto contiene l’indirizzo C&C, dopodiché, Slingshot stabilisce un canale di comunicazione crittografato con il C&C e inizia a trasmettere i dati per l’esfiltrazione.
I campioni dannosi analizzati dai ricercatori sono stati contrassegnati come “versione 6.x”, il che suggerisce che la minaccia esista da diverso tempo. Il tempo di sviluppo, l’abilità necessaria e i costi di creazione del set di strumenti complessi di Slingshot sembrano essere stati estremamente elevati. Questi indizi suggeriscono che il gruppo dietro Slingshot sia probabilmente altamente organizzato e professionale e probabilmente sponsorizzato da Stati. Gli indizi nel codice suggeriscono che sia di lingua inglese, tuttavia, l’attribuzione accurata è sempre difficile, se non impossibile da determinare e soggetta a manipolazione e a errore.
Finora sono state rilevate circa 100 vittime di Slingshot e dei suoi relativi moduli, situati in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. La maggior parte delle vittime sembrano essere semplici utenti piuttosto che aziende, anche se sono state colpite anche alcune organizzazioni e istituzioni governative. Gli account più colpiti sono in Kenya e Yemen.
“Slingshot è una minaccia sofisticata, che impiega una vasta gamma di strumenti e tecniche, compresi i moduli in modalità kernel, finora usati solo dai cyber criminali più avanzati. La sua azione è molto preziosa e redditizia per gli aggressori, e questo potrebbe spiegare perché sia in circolazione da circa sei anni”, ha affermato Alexey Shulmin, Lead Analyst Malware di Kaspersky Lab.
I ricercatori consigliano di seguire le seguenti misure:
- Utenti dei router Mikrotik: eseguire l’aggiornamento alla versione più recente del software il prima possibile per garantire la protezione da vulnerabilità note. In questo modo Mikrotik Winbox non scaricherà più nulla dal router al computer dell’utente;
- Utilizzare una soluzione di sicurezza affidabile per le aziende, in combinazione con tecnologie anti-targeting attack e threat intelligence. Queste sono in grado di individuare e bloccare attacchi mirati avanzati analizzando le anomalie della rete e offrendo ai team di sicurezza informatica piena visibilità sulla rete e sulle risposte automatiche;
- Fornire al personale addetto alla sicurezza l’accesso ai più recenti dati di threat intelligence, in modo da poterli dotare di strumenti utili per la ricerca e la prevenzione mirata degli attacchi, come indicatori di compromissione (IoC), YARA rule e segnalazione avanzata personalizzata delle minacce;
- Se si individuano i primi indicatori di un attacco mirato, prendere in considerazione i servizi di protezione gestiti che consentono di rilevare proattivamente le minacce avanzate, ridurre i tempi di fermo macchina e organizzare la risposta tempestiva agli attacchi.