Aggiornamenti recenti Marzo 18th, 2024 2:00 PM
Mar 12, 2018 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, Minacce, News, RSS 1
Se dovessero scommettere sulla paternità di Slingshot, il software spia individuato in questi giorni dai ricercatori di Kaspersky, gli analisti punterebbero tutto sull’Equation Group, il team di cyber-spioni interno ai servizi segreti USA.
Il motivo? Stando a quanto si legge nel report pubblicato sul sito ufficiale della società di sicurezza russa, Slingshot è uno dei malware più complessi che siano mai stati individuati. Non solo: per diffondersi utilizza alcune tecniche mai viste prima.
I ricercatori lo definiscono come un APT (Advanced Persistent Threat) composto da diversi moduli, che consentono ai suoi autori di intercettare il traffico Internet e rubare qualsiasi informazione memorizzata sul PC attraverso una serie di strumenti praticamente impossibili da individuare.
Ma andiamo con ordine. Stando alla ricostruzione di Kaspersky, Slingshot è stato diffuso attraverso un vettore di attacco inusuale: una vulnerabilità nei router MikroTik che ha permesso ai pirati di iniettare una DLL infetta colpendo direttamente il computer dell’amministratore.
Grazie a questa tecnica di attacco, in pratica, il PC che si collega all’interfaccia di controllo del router attraverso Winbox Loader (il software usato dai dispositivi MikroTik per la configurazione) viene compromesso attraverso l’iniezione di ipv4.dll, un componente che viene eseguito in memoria e avvia il download di altro codice sul computer.
I ricercatori, però, non escludono che il malware sia stato diffuso anche con altre tecniche. In alcuni casi, infatti, pur avendo individuato la presenza di Slingshot gli analisti non sono riusciti a risalire al vettore di attacco iniziale. È possibile, per esempio, che abbiano utilizzato una tecnica simile per sfruttare router di altri produttori come “trampolino di lancio” per i loro attacchi.
Oltre a usare una tecnica di diffusione piuttosto anomala, Slingshot ha una struttura complessa che gli permette di ottenere persistenza e libertà d’azione fuori dal comune. I due moduli principali che vengono installati si chiamano Cahnadr e GollumApp.
Il primo agisce a livello di kernel e ha, di conseguenza, una libertà di azione impressionante. Tanto più che Cahnadr riesce a funzionare senza interferire con il sistema e provocarne il crash. Un risultato che i ricercatori definiscono “eccezionale”.
GollumApp, invece, mette a disposizione dei cyber-spioni più di 1.500 comandi che consentono loro di rubare qualsiasi tipo di informazione partendo dalla registrazione di tutto quello che viene digitato sulla tastiera, passando per l’uso della webcam e l’accesso a tutte le unità di memoria (USB comprese) collegate al PC.
Per passare inosservato, il malware utilizza un sistema di crittografia proprietario, che permette di rendere inaccessibili tutti i dati del suo codice. Utilizza anche alcuni accorgimenti molto specifici, come quello di disattivare il sistema di deframmentazione del disco, che potrebbe interferire con il suo funzionamento.
Insomma: si tratta di un malware estremamente evoluto e secondo i ricercatori il suo sviluppo ha richiesto tempo, impegno e investimenti notevoli. Qualcosa insomma che fa pensare al coinvolgimento di servizi segreti del livello del famigerato Equation Group, l’unità di cyber-spionaggio che opera per conto della National Security Agency (NSA) statunitense. Una pista, questa, rafforzata dal fatto che i commenti interni al codice sono scritti in inglese.
Ma da quanto sarebbe in circolazione Slingshot? L’esemplare più vecchio individuato da Kaspersky risalirebbe al 2012 e ne sarebbero state realizzate almeno 6 versioni diverse.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Mar 18, 2024 0
Mar 18, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 15, 2024 0
Sempre più aziende stanno scegliendo Kubernetes (K8s) per...Mar 13, 2024 0
Negli ultimi anni il ruolo del CISO (Chief Information...Feb 29, 2024 0
Secondo la ricerca “Connecting the future of...Feb 28, 2024 0
Secondo l’ultimo sondaggio di Check Point, fornitore...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 18, 2024 0
F.A.C.C.T, agenzia russa di cybersecurity, ha denunciato...Mar 18, 2024 0
Il team di SonicWall Capture Labs ha scoperto di recente...Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 14, 2024 0
I ricercatori di FortiGuard Labs hanno scoperto una...Mar 14, 2024 0
I ricercatori di SaltSecurity hanno individuato due...
One thought on “Il nuovo super-trojan di stato si chiama Slingshot ed è attivo dal 2012”