Специалисты «Лаборатории Касперского» обнаружили зловреда, остававшегося незамеченным последние 6 лет


    Источник: kaspersky.com

    Зловредное программное обеспечение совершенствуется очень быстро. Его создают с самыми разными целями — от похищения средств до саботажа. На днях «Лаборатория Касперского» опубликовала подробный отчет, в котором указаны результаты изучения необычного зловреда, получившего название Slingshot. Его так назвали потому, что в обнаруженных участках кода содержался текст именно с этим «именем».

    Slingshot является близким родственником Regin — продвинутого бэкдора, вредившего клиентам бельгийской компании Belgacom, а также Project Sauron — мощному зловреду, которое оставалось незаметным для специалистов по информационной безопасности в течение многих лет. Slingshot в этом от своих предшественников не отличается, прятаться он умеет просто отлично. Навыки маскировки настолько хороши, что вирус оставался незамеченным в течение шести лет.

    Обнаружение Slingshot позволило изучить сложную экосистему вредоносного софта, состоящего из нескольких элементов, которые работают, взаимодействуя друг с другом. В результате формируется гибкая и мощная система, которая способна обходить барьеры и преграды в виде антивирусного ПО.

    «Malware создано первоклассными специалистами, оно выполняет свою задачу разными способами, порой, весьма оригинально. В этом ПО объединены новые и старые элементы вирусного ПО. Будучи собранными вместе, эти элементы представляют собой высокоэффективное зловредное ПО», — говорится в отчете «Лаборатории».

    Исследователи до сих пор точно не знают, с чего именно Slingshot начал свое распространение, но известно, что часть этих «жертв» — роутеры производства латвийской компании MikroTik. Каким-то образом операторы Slingshot получили доступ к роутерам и разместили в них зловредный код. Возможно, злоумышленники использовали конфигурационную утилиту Winbox, которая использовалась для загрузки DLL. Один из них, ipv4.dll — загрузчик malware, созданный разработчиками зловреда. Winbox использовался для передачи ipv4.dll на целевой компьютер, в результате чего происходило заражение.

    Загрузчик скачивает другие компоненты системы, и запускает их. Для того, чтобы запуск отдельных компонентов прошел успешно, злоумышленники использовали разные ухищрения, включая подписанные уязвимые драйверы, с последующей эксплуатацией уязвимостей. Процесс можно сравнить с внедрением Троянского коня. Среди прочих загружаемых модулей можно упомянуть такие, как Cahnadr и GollumApp. Они взаимосвязаны, и способны работать, учитывая действия друг друга.

    Наиболее сложным модулем в этой связке можно назвать GollumApp. Он включает около 1500 функций и позволяет выполнять многие задачи с файловой системой, удаленным доступом к системе и т.п.

    Canhadr, который известен еще и как Ndriver, может выполнять низкоуровневые команды, включая сетевые команды, операции ввода-вывода и т.п. Модуль может выполнять зловредный код без выведения из строя всей системы с появлением BSoD. Написаны модули на чистом «Си», что позволяет зловреду получить полный доступ к жестком диску и памяти скомпрометированной системы.

    По мнению представителей «Лаборатории Касперского», это ПО может иметь неизученные еще возможности и работать с уязвимостями нулевого дня, о которых неизвестно широкой общественности — конечно, здесь имеются в виду специалисты по кибербезопасности. Об эффективности технологий скрытия признаков активности вируса говорит хотя бы то, что он активен с 2012 года и до сих пор работает на многих системах (правда, все эти системы выявить достаточно сложно).



    Один из способов «игры в прятки» — использование зловредом шифрования диска, неиспользуемой его части. Он разделяет собственные файлы от системных файлов ПК, и таким образом тоже снижает вероятность обнаружения своей работы. Помимо всего прочего, в вирусе зашифрованы практически все текстовые строки в любых его модулях. Таким образом, антивирусу сложно провести идентификацию зловредного ПО.

    Какова же цель создателей этого вируса? Эксперты считают, что главное — шпионаж. Slingshot ведет логи различных процессов десктопного ПК, а также копирует из буфера его содержимое в разные моменты времени. Кроме того, зловред время от времени делает скриншоты, работает в качестве логгера, ведет мониторинг сетевой активности, собирает пароли и данные о подключенном USB-оборудовании. Насколько можно судить, Slingshot имеет доступ практически к любым данным на жестких дисках зараженного компьютера. Инфицированные системы обнаружены, преимущественно, в Кении и Йемене, но есть они в Афганистане, Ливии, Конго, Иордании, Турции, Ираке, Судане, Сомали и Танзании. В некоторых случаях скомпрометированы пользовательские ПК, а в других — компьютеры государственных организаций и институтов.
    Поддержать автора
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 10

      +5
      Помимо всего прочего, в вирусе зашифрованы практически все текстовые строки в любых его модулях. Таким образом, антивирусу сложно провести идентификацию зловредного ПО.

      Ага, вот я и узнал как на самом деле работают все антивирусы! А то эвристика, эвристика…
        0
        роутеры производства латвийской компании MikroTik. Каким-то образом операторы Slingshot получили доступ к роутерам и разместили в них зловредный код.

        Паранойя рулит, прям интересно каким образом появляются дыры в популярном и не очень сетевом оборудовании
          0

          Вроде только для Windows. Kaspersky Virus Removal Tool помогает?

            0
            «Лаборатория Касперского»: шесть лет наше ПО не могло выявить вирус. Впрочем, как и ПО конкурентов… ;)
              0
              6 лет. Где-то как раз тогда я окончательно ушёл на линукс. Вирусы… антивирусы… трояны… 6 лет не могли обнаружить… я бы даже сказал, что все эти слова вызывают некоторую ностальгию…

              Но нет.
                +1
                Утомили подобные комментарии, как-будто Линукс сам по себе является неуязвимым для подобного ПО. В этой ОС вообще нет никаких механизмов против такого, достаточно получить привилегии. В последнее время множество зловредов для линей появилось и так же обнаружились и старые неизвестные до сих пор.
                  0
                  Штука в том, что в линуксах не принято запускать что попало из интернетов. Уверен что абсолютное большинство заражений в windows происходит таки благодаря неразборчивости юзера.
                    0
                    Вроде как хобби сидеть под админом потеряло популярность после ухода ХР со сцены.
                      0
                      1. «что попало» на винде это что?
                      2. На линуксе этого «что попало» нет?
                      Те, кто скачивают «бесплатно без смс» на винде, будут так же исполнять первое попавшееся sudo+wget из интернета.
                      Поставить родителям линукс с запароленным суперюзером тоже не аргумент, на винде так же сделать можно.
                  0

                  Не думал, что микротики так популярны в Африке и Азии, скажите, что я ошибаюсь, иначе карта заражения не натягивается на эти регионы

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое