Alfonso Maruccia

Slingshot, il "capolavoro" dei malware per lo spionaggio

Individuato un nuovo attacco APT particolarmente sofisticato, una minaccia a doppio stadio che sfrutta le vulnerabilità di una particolare marca di router per compromettere bersagli sensibili. Probabilmente si tratta di spionaggio

Roma - Kaspersky ha svelato l'esistenza di Slingshot, un attacco di tipo APT (Advanced Persistent Threat) che ha tutta l'aria di essere una sofisticata operazione di spionaggio di stato - anche se al momento le responsabilità non sono chiare. Di particolare rilievo la complessità dell'attacco, e la capacità di compromettere tutte le comunicazioni del sistema infetto.

Slingshot arriva sul PC bersaglio per mezzo del software di gestione dei router MikroTik, dispositivi che a dire di Kaspersky sono progettati per scaricare alcune librerie dinamiche (DLL) in autonomia e che vengono appunto infettati con il download di librerie infette.

Una volta compromesso il router, Slingshot scarica i due principali componenti dell'infezione sul computer: il primo, Canhadr, esegue codice a basso livello nello spazio del kernel infettando i driver di periferica vulnerabili ma dotati di una firma digitale valida, mentre il secondo, GollumApp, agisce nello spazio utente per coordinare e gestire gli altri elementi dell'infezione.
Slingshot ha la capacità di diventare "invisibile" ai controlli di sicurezza, dice Kaspersky, e i due succitati componenti rappresentano degli autentici "capolavori" nel business del codice malevolo essendo dotati di meccanismi di contrasto alla scansione da parte degli anti-malware, di un file system virtuale cifrato - all'interno del quale sono archiviati i file dell'attacco - e di stringe di testo completamente cifrate per ridurre al minimo le possibilità di individuazione.

Non è un caso, infatti, che Slingshot sia in circolazione dal 2012 e sia stato scoperto solo ora, mentre per la complessità della minaccia Kaspersky evoca paragoni con Regin, il super-malware presente nel cyber-arsenale dell'intelligence statunitense (NSA). Simili sarebbero anche le finalità, visto che i sistemi infetti con Slingshot sono stati individuati in quei paesi (Afghanistan, Iraq, Giordania, Libia, Turchia) che destano particolare preoccupazione per i governi occidentali.

Alfonso Maruccia
Notizie collegate
24 Commenti alla Notizia Slingshot, il "capolavoro" dei malware per lo spionaggio
Ordina
  • l'ho sempre detto che debian e tutto il mondo linux sono solo spazzatura. Non mi meraviglio che sia sufficiente usare il comando apt per infettarsi il computer.
    MacOS tutta la vita!!!!
    non+autenticato
  • E che razzo c'entra debian e Linux col "router os " di MikroTik e la vulnerabilità windoze?
    Lo hai letto l'articolo o il tuo è un post "a prescindere"?
    Rotola dal ridere
    non+autenticato
  • Quando vedo quei dettagli con i driver io vado in estasi!
    non+autenticato
  • - Scritto da: Rag. Filini
    > Quando vedo quei dettagli con i driver io vado in
    > estasi!

    Il montaggio analoggico m'ha completamente sconvolto!
    non+autenticato
  • Diggitale!
    Diggitale!

    Ma insomma! Diggitale!
    non+autenticato
  • - Scritto da: Rag. Fonelli
    > Diggitale!
    > Diggitale!
    >
    > Ma insomma! Diggitale!
    Senti mah... ti è mai venuta in mente l'idea di andare affaccio altrove?
    non+autenticato
  • Sui router MikroTik ci gira benissimo openwrt/lede .
    Mi pare tutto assai semplice da neutralizzare
    non+autenticato
  • Mikrotik Router OS è una spanna sopra a openwrt e affini.
    Basta usare la shell o l'interfaccia web invece che l'app windows fornita....
    non+autenticato
  • - Scritto da: azz
    > Mikrotik Router OS è una spanna sopra a openwrt e
    > affini.
    Davvero?
    E in cosa di grazia?
    Le opzioni e la configurabilità non sono neppure lontanamente paragonabili lede/openwrt può fare deCine di cose in più.
    Della sicurezza (come dimostrano le news) poi non è neppure il caso di fare paragoni.

    infatti .....
    non+autenticato
  • - Scritto da: MikroTik
    > - Scritto da: azz
    > > Mikrotik Router OS è una spanna sopra a openwrt
    > e
    > > affini.
    > Davvero?
    > E in cosa di grazia?
    Nell'usabilità come SO per router.
    Openwrt e affini vanno benissimo per mille altre cose....ma non sono certo ottimizzati per uso specifico. Poi ovviamente puoi anche configurarci un router....se hai tempo e denaro per farlo....
    non+autenticato
  • Certo che ne spari, di cazzate, fuddaro. Tu manco l'hai mai visto in foto Mikrotik Router OS.
    non+autenticato
  • - Scritto da: Panda Assassino
    > Certo che ne spari, di cazzate, fuddaro. Tu manco
    > l'hai mai visto in foto Mikrotik Router
    > OS.
    Tu invece cosa avresti visto?
    Giusto per sapere....
    Sai dirmi come si configura router os per fargli supportare il voip/sip?
    A bocca aperta
    non+autenticato
  • - Scritto da: MikroTik
    > - Scritto da: Panda Assassino
    > > Certo che ne spari, di cazzate, fuddaro. Tu
    > manco
    > > l'hai mai visto in foto Mikrotik Router
    > > OS.
    > Tu invece cosa avresti visto?
    > Giusto per sapere....
    > Sai dirmi come si configura router os per fargli
    > supportare il
    > voip/sip?
    > A bocca aperta

    Non me ne frega nulla del tuo voip. Io sono ricco e nella mia azienda, ai miei dipendenti, regalo un iPhone X ad ognuno. Il voip lo lascio ai pezzenti come te.
    non+autenticato
  • - Scritto da: Panda Assassino
    > - Scritto da: MikroTik
    > > - Scritto da: Panda Assassino
    > > > Certo che ne spari, di cazzate, fuddaro. Tu
    > > manco
    > > > l'hai mai visto in foto Mikrotik Router
    > > > OS.
    > > Tu invece cosa avresti visto?
    > > Giusto per sapere....
    > > Sai dirmi come si configura router os per fargli
    > > supportare il
    > > voip/sip?
    > > A bocca aperta
    >
    > Non me ne frega nulla del tuo voip. Io sono ricco
    > e nella mia azienda, ai miei dipendenti, regalo
    > un iPhone X ad ognuno. Il voip lo lascio ai
    > pezzenti come
    > te.
    Bravo pagando bollette astronomiche alle compagnie telefoniche

    Rotola dal ridere
    Credo che la tua azienda se la gestisci così sarà presto molto povera.
    N.b. non c'è azienda (a cominciare dalle banche passando per le grandi medie e piccole imprese) che non si ponga il problema di ottimizzare i costi delle comunicazioni (interne,locali e internazionali) mi pare piuttosto evidente che tu non solo non hai una azienda ma neppure hai idea di come funziona.
    non+autenticato
  • Io se ho bisogno di 'sta roba, lo chiedo a Tania Sultana come si fa. Mica ad un cantinaro puzzone e panzone come te.

    non+autenticato
  • - Scritto da: azz
    > - Scritto da: MikroTik
    > > - Scritto da: azz
    > > > Mikrotik Router OS è una spanna sopra a
    > openwrt
    > > e
    > > > affini.
    > > Davvero?
    > > E in cosa di grazia?
    > Nell'usabilità come SO per router.
    > Openwrt e affini vanno benissimo per mille altre
    > cose....ma non sono certo ottimizzati per uso
    > specifico. Poi ovviamente puoi anche configurarci
    > un router....se hai tempo e denaro per
    > farlo....
    Ma che razzo dici?
    Openwrt/lede sono proprio ottimizzati per fare il router e sono preconfigurati esattamente per questo!
    Mi sa che tu non hai mai visto in vita tua openwrt/lede.
    P.s.
    Bastava anche solo googlare per rendersene conto.
    Rotola dal ridere
    non+autenticato
  • Sì, ma non scriverlo qui, tanto è inutile.
    non+autenticato
  • Come fa il malware a passare dal router al PC? Anche la pagina linkata di Kaspersky non lo spiega.
    non+autenticato
  • - Scritto da: e87db12afa1
    > Come fa il malware a passare dal router al PC?
    > Anche la pagina linkata di Kaspersky non lo
    > spiega.

    MISTERI DELLA FEDE!
    non+autenticato
  • - Scritto da: e87db12afa1
    > Come fa il malware a passare dal router al PC?
    > Anche la pagina linkata di Kaspersky non lo
    > spiega.

    attraverso l'update del programma client (che i babbei usano al posto dell'interfaccia web)
    non+autenticato
  • >
    > attraverso l'update del programma client (che i
    > babbei usano al posto dell'interfaccia
    > web)

    E come fa ad entrare in Kernel space? Come driver?
    non+autenticato
  • - Scritto da: baa0ad1e2d2

    > E come fa ad entrare in Kernel space? Come driver?

    Ho letto che è una DLL del client. Quindi non dovrebbe essere un driver e non so come faccia, ma lo fa.
    non+autenticato
  • - Scritto da: espertone
    > - Scritto da: baa0ad1e2d2
    >
    > > E come fa ad entrare in Kernel space? Come
    > driver?
    >
    > Ho letto che è una DLL del client. Quindi non
    > dovrebbe essere un driver e non so come faccia,
    > ma lo
    > fa.

    cio che han scritto e' :
    Q: How exactly does infection happen?

    aA: The exact method used by Slingshot to exploit the routers in the first instance is not yet clear. When the target user runs Winbox Loader software (a utility used for Mikrotik router configuration), this connects to the router and downloads some DLLs (dynamic link libraries) from the router’s file system.

    One of them – ipv4.dll – has been placed by the APT with what is, in fact, a downloader for other malicious components. Winbox Loader downloads this ipv4.dll library to the target’s computer, loads it in memory and runs it.

    This DLL then connects to a hardcoded IP and port (in every cases we saw it was the router’s IP address), downloads the other malicious components and runs them.

    Q:
    Does it use exploits to zero-day vulnerabilities? Any other exploits?

    A: We haven’t seen Slingshot exploit any zero-days, but that doesn’t mean that it doesn’t – that part of a story is still unclear for us. But it does exploit known vulnerabilities in drivers to pass executable code into kernel mode. These vulnerabilities include CVE-2007-5633; CVE-2010-1592, CVE-2009-0824. (aka robbba vecchia... ma cmq se a) puoi manipolare il traffico dal router b) riesci quindi a sparare del sw dentro al pc -> anche se NON sei system, fai un saaacco di cose ugualmente .. anche ingannare l'utente per diventare admin)
    non+autenticato
  • - Scritto da: espertone
    > - Scritto da: baa0ad1e2d2
    >
    > > E come fa ad entrare in Kernel space? Come
    > driver?
    >
    > Ho letto che è una DLL del client. Quindi non
    > dovrebbe essere un driver e non so come faccia,
    > ma lo
    > fa.

    espertone.... 'sta fava!
    non+autenticato