Kibertámadás az irodai routeren keresztül

Az áldozatok felett a kémprogram teljes irányítást szerezhet, megszerezve az értékes és a bizalmas adataikat.

Vírusvédelmi szakértők olyan kifinomult kibercsapdát azonosítottak, amelyet főként kémkedésre használtak a Közel-Keleten és Afrikában 2012-től idén februárig.

A legérdekesebb tény a kutatók által Slingshot-ra keresztelt rosszindulatú szoftverrel kapcsolatban a szokatlan támadási kiindulópontja. Minél több áldozatot azonosítottak a kutatók, annál inkább tűnt úgy, hogy az áldozatokat feltört routerek segítségével fertőzték meg. A támadások során a Slingshot mögött álló bűnözői csoport feltörte a routereket ahhoz, hogy elhelyezzen bennük egy rosszindulatú dinamikus linket, amelynek feladata valójában további kártékony összetevők letöltése. Amikor egy rendszergazda bejelentkezett, hogy konfigurálja az adott routert, a router kezelőszoftvere letöltötte és futtatta a számítógépen található rosszindulatú modult. Hogy miként támadták meg az első routert, egyelőre ismeretlen.

A támadás módszere

A fertőzést követően a Slingshot további modulokat töltött az áldozat készülékére, köztük két kifejezetten erőset: a Cahnadr és a GollumApp nevű programokat. A két modul összekapcsolódik és képes egymást támogatni az adatgyűjtésben, valamint az adatok továbbításában. A behatolók fő célja egyértelműen a kiberkémkedés volt. Az elemzés szerint a szoftver összegyűjtötte a screenshotokat, a billentyűleütéseket, a hálózati adatokat, a jelszavakat, az USB-s csatlakozásokat, minden egyéb „asztali” aktivitást, és a vágólap adatait. Úgy tűnik, hogy bármilyen adatot ellophatott a számítógépről, amit csak akart.

A kifinomult és kitartó kibercsapda számos olyan technikát alkalmaz, amely segít az azonosítást elkerülni: titkosítja moduljait, közvetlenül eléri a rendszer szolgáltatókat, anti-debugging módszereket használ. Még arra is képes, hogy kiválassza, melyik folyamatot fertőzze meg annak függvényében, hogy milyen biztonsági megoldást talál a megtámadott rendszeren.

A kutatók a vizsgált rosszindulatú mintákat hatodik verzióként definiálják, ami azt sugallja, hogy a kibercsapda működése régóta tart. A Slingshot fejlesztésének ideje és összetettsége azt feltételezi, hogy előállításának költségei igen magasak voltak. Ez arra utal, hogy a kibercsapda mögött álló csoport szervezett és professzionális, még az sem kizárható, hogy valamilyen állami támogatást is kaphattak, bár egyelőre nem tudni, honnan. A kódban szereplő szöveges nyomok angol nyelvűek, de fontos megjegyezni hogy egy-egy kibercsapda területi azonosítása mindig nehéz, hacsak nem lehetetlen.

A szakértők a biztonság érdekében azt javasolják, hogy a routert használók frissítsék a készülék szoftverjét, amint lehetséges. Használjanak megbízható biztonsági megoldást, és biztosítsanak hozzáférést a legújabb kibercsapda-adatokhoz, amelyek segítséget nyújtanak a célzott támadások észleléséhez és megelőzéséhez. Persze a hatékony vírusirtó programokról sem szabad megfeledkezni.

Megosztás: