Құрбандарды роутерлер арқылы зақымдайтын күрделі тыңшылық бағдарлама айқындалды

«Касперский зертханасының» зерттеушілері Таяу Шығыс пен Африка елдерінде кем дегенде 2012 жылдан бастап тыңшылықта пайдаланылатын күрделі киберқатерді айқындады. Зиянкес Slingshot («Зақпы» немесе «Сақпан») деген атауды иеленді.

Slingshot ең есте қаларлық ерекшеліктерінің бірі – шабуылдарының өзгеше векторы. Сарапшылар зиянкестің көптеген құрбандары роутер арқылы зақымдалғанын анықтады. Шабылдар барысында Slingshot-ны құрушы топ құрылғыны бұзып, оған зиянкестің компоненттерін, соның ішінде қарқынды жүктелетінipv4.dll кітапханасын онатады. Әкімші баптау немесе диагностикалау үшін роутерге қосылған кезде құрылғының бағдарламасы әкімшінің компьютеріне осы модульді жүктейді және іске қосады, ал ол өз кезігіндероутерден аталған зиянды бағдарламаның қалған модульдерін көшіреді. Осы компоненттердің біреуі ядро (kernel mode) режимінде жұмыс істей алады және бұл оған құрбанның компьютерін толығымен бақылау мүмкіндігін береді.

Роутерді бұзу әдісі әзірше түсініксіз болып қалуда, зиянкестер ол үшін белгілі эксплойттердің бірін пайдалануы ықтимал.

Зақымдағаннан кейін Slingshot екі үлкен және қуатты Cahnadr мен GollumApp қоса алғанда, бірнеше қосымша модульдерді жүктейді. Олар байланыса отырып жұмыс істейді және ақпарат жинауда, айқындаудан қорғалу мен деректерді фильтрлеуде бір біріне «жәрдемдеседі».

Жан-жағынан алып қарағанда, Slingshot басты мақсаты – кибертыңшылық. Бағдарлама скриншоттарды, клавиатурадан енгізілетін символдарды, желілік ақпаратты, парольдерді, USB-ға қосылуларды, алмасу буферіндегі деректерді және көптеген басқа мәліметтерді жинайды да зиянкестерге жібереді. Зиянкестің ядроға қолжетімділігі теория тұрғысынан Slingshot нені болса да ұрлай алатынын білдіреді.

Slingshot оған байқаусыз қалуға көмектесетін бір қатар техникаларды да қамтиды. Олардың арасында барлық модульдерді шифрлау, қорғау шешімдерінен тыс, жүйе қызметтерін тікелей шақыру, бірқатар ретке келтіруге қарсы тәсілдер, сондай-ақ құрылғыда пайдаланылатын қорғау шешіміне байланысты мінез-құлықтың икемді сценарийлері.

Сарапшылар талдау жүргізген зиянды кодтың үлгілері «6.x нұсқасы» ретінде белгіленген. Осы белгіге қарағанда, қатер көп уақыттан бері орын алады. Шын мәнінде, осындай күрделі БҚ-ны әзірлеу үшін көп уақыт пен ресурс, сондай-ақ орындаушылар дайындығының жоғары деңгейі талап етіледі. Аталған айғақтар жиынтығы Slingshot құрушы топ жоғары ұйымдасқан, кәсіпқой және мемлекет тарапынан қаржыландырылуы мүмкін деп қорытындылауға мүмкіндік береді. Кодтағы мәтіндік артефактілер әзірлеушілердің болжаммен ағылшынтілді болуын білдіреді.

Осы сәтте сарапшылар Slingshot-ның 100 жуық құрбанын айқындады. Олардың басым бөлігі Кения мен Йеменде орналасқан, сондай-ақ Ауғанстан, Ливия, Конго, Иордания, Түркия, Ирак, Судан, Сомали және Танзания елдерінде де құрбандар бар. Шабуыл жасалғандардың айтарлықтай бөлігі – жеке тұлғалар, алайда мемлекеттік органдар да кездеседі.

Ақпарат көзі: anti-malware.ru