Kaspersky ha svelato l’ esistenza di Slingshot , un attacco di tipo APT (Advanced Persistent Threat) che ha tutta l’aria di essere una sofisticata operazione di spionaggio di stato – anche se al momento le responsabilità non sono chiare. Di particolare rilievo la complessità dell’attacco, e la capacità di compromettere tutte le comunicazioni del sistema infetto.
Slingshot arriva sul PC bersaglio per mezzo del software di gestione dei router MikroTik, dispositivi che a dire di Kaspersky sono progettati per scaricare alcune librerie dinamiche (DLL) in autonomia e che vengono appunto infettati con il download di librerie infette.
Una volta compromesso il router, Slingshot scarica i due principali componenti dell’infezione sul computer: il primo, Canhadr , esegue codice a basso livello nello spazio del kernel infettando i driver di periferica vulnerabili ma dotati di una firma digitale valida, mentre il secondo, GollumApp , agisce nello spazio utente per coordinare e gestire gli altri elementi dell’infezione.
Slingshot ha la capacità di diventare “invisibile” ai controlli di sicurezza, dice Kaspersky , e i due succitati componenti rappresentano degli autentici “capolavori” nel business del codice malevolo essendo dotati di meccanismi di contrasto alla scansione da parte degli anti-malware, di un file system virtuale cifrato – all’interno del quale sono archiviati i file dell’attacco – e di stringe di testo completamente cifrate per ridurre al minimo le possibilità di individuazione.
Non è un caso, infatti, che Slingshot sia in circolazione dal 2012 e sia stato scoperto solo ora, mentre per la complessità della minaccia Kaspersky evoca paragoni con Regin , il super-malware presente nel cyber-arsenale dell’intelligence statunitense (NSA). Simili sarebbero anche le finalità, visto che i sistemi infetti con Slingshot sono stati individuati in quei paesi (Afghanistan, Iraq, Giordania, Libia, Turchia) che destano particolare preoccupazione per i governi occidentali.
Alfonso Maruccia