Slingshot: Netop opdaget malware har ligget gemt på routere i seks år

Illustration: 13FTStudio/Bigstock
Cyber-spionage-malware er blevet fundet i over 100 computere, primært i Mellemøsten og Afrika. Programmerne har ligget skjult i op til seks år og har givet totalt indblik i de inficerede computere.

Malwaren Slinghot har ligget skjult i seks år og inficeret mere end 100 computere.

Det drejer sig formodentlig om raffineret cyper-spionage, mener forskere fra Kaspersky Lab, som udgav en rapport om malwaren fredag.

Det skriver Ars Technica

Ifølge rapporten udnyttede Slingshot-malwaren en ukendt svaghed i routere produceret af lettiske MikroTik.

Teknikken er endnu ikke fuldt afdækket, men den involverer, at et konfigurationsprogram til routeren kaldet Winbox henter DLL-filer fra routerens filsystem. En af filerne, ipv4.dll, henter yderligere skadelige filer.

Illustration: Kaspersky Lab

Komplet overvågning af computeren

Via routeren downloades adskillige forskellige moduler, som installeres på den inficerede computer. De to vigtigste er et kernel mode-program kaldet Cahnadr og et user mode-program kaldet GollumApp.

Derudover inficeres computeren af modulerne SsCB, ffproxy og Needlewatch, som tilsammen kan aflæse alt fra tekst, billeder, skrivebord, browsere, funktioner, der skriver til console, funktioner, der bruges til SSP-kryptering, og dekryptering.

Læs også: Hollandsk politi drev darknet-marked i 27 dage: Send os jeres geotaggede billeder

Slingshot har også diverse måder at beskytte sig selv på. Malwaren arbejder igennem et virtuelt, krypteret filsystem, som typisk er installeret i en ubenyttet del af harddisken. Desuden har Slingshot et modul, der slår Windows file protection fra, og blokerer for fremtidige sikkerhedsopdateringer, uden at dette giver fejlmeldinger til computerens bruger.

Slingshot har været i stand til at infiltrere over 100 computere og har i nogle tilfælde været aktiv siden 2012 - uden at det er blevet opdaget før nu.

Designet til spionage

Kaspesky Lab nævner ingen potentielle bagmænd. Rapporten hæfter sig kun ved, at Slingshot er yderst avanceret og løser alle kendte, tekniske udfordringer. Ofte med meget elegante og veludviklede løsninger. Noget man kun kan forvente af en »top-notch, well-resourced actor«

Slingshot beskrives som »et komplekst øko-system, hvor adskillige komponenter arbejder sammen for at levere en meget fleksibel og velsmurt cyber-spionage platform«.

Læs også: Detaljer i obskur header skaber mystik om afsender af OL-malware

De inficerede computere var primært placeret i Afrika og mellemøsten. Lande, som var ramt, inkluderer: Kenya, Yemen, Libyen, Afghanistan, Irak, Tanzania, Tunesien og Forenede Emirater samt Tyrkiet og Grækenland.

Rapporten hæfter sig ved, at debug-noterne var på fejlfrit engelsk, og at flere komponenter var navngivet efter skabninger i Ringenes Herre. Dette tyder på oprindelse i et engelsktalende land, bemærker forskerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jönsson

Rapporten hæfter sig ved, at debug-noterne var på fejlfrit engelsk, og at flere komponenter var navngivet efter skabninger i Ringenes Herre. Dette tyder på oprindelse i et engelsktalende land, bemærker forskerne.

Eller også er det netop en decoy.....

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder