Кибершпионска операция към рутери на Mikrotik останала незасечена с години
Специалисти от съветската антивирусна компания Kaspersky Lab са се натъкнали на високопрофилна кибершпионска APT (advanced persistent threat) интервенция, чието начало води от 2012 насам. Slingshot, както са я кръстили откривателите е ориентирана към бизнес консуматори и организации от Близкия Изток и Африка, ползващи устройствата на Mikrotik. Става дума за извънредно комплицирана зловредна стратегия (на която е кръстена и операцията), която оперира на равнище ядро. Тя употребява умели техники за прикриване на наличието си, събирайки хетерогенен по тип информация и сполучливо пресичайки информацията, минаваща през устройствата.
Kaspersky се натъкнали в началото на код, целящ записа на натисканите клавиши от устройството на техен клиент. Те основали съответна сигнатура, с цел да схванат дали ще се натъкнат на тази стратегия и другаде, което и станало.
Те разкрили зловредна библиотека, зареждаща се със сервизните процеси на системата. Оказало се, че тя бива доставена чрез.DLL файл, приближаващ от рутерите.
Виновник за това бил софтуерът за ръководство на рутера, който свалял от Интернет въпросния файл. Засега обаче остава незнайно по какъв начин файлът идва към рутера. Веднъж открила се на системата на админа на мрежата, програмата смъква спомагателни зловредни стратегии и модули, които оказват помощ, както за извличането, складирането и изпращането на откраднатите данни, по този начин и за сполучливото прикритие на офанзивата.
Специалистите показват, че съгласно тях уредниците на интервенцията е доста евентуално да са ведомствени хакери, зад които стои държавно управление, защото цялостната акция, употребяваните умения и запаси, технологическа експертиза и други фактори, надали са по-силите на киберпрестъпна група, а става дума точно за кибершпионаж. Kaspersky Lab показват също по този начин, че евентуално хората зад Slingshot са англоговорящи, само че припомнят, че приписването на съответен сътрудник в днешния киберсвят е съвсем невероятно, а и постоянно може да става думи за „ офанзива под непознат байрак “.
Kaspersky се натъкнали в началото на код, целящ записа на натисканите клавиши от устройството на техен клиент. Те основали съответна сигнатура, с цел да схванат дали ще се натъкнат на тази стратегия и другаде, което и станало.
Те разкрили зловредна библиотека, зареждаща се със сервизните процеси на системата. Оказало се, че тя бива доставена чрез.DLL файл, приближаващ от рутерите.
Виновник за това бил софтуерът за ръководство на рутера, който свалял от Интернет въпросния файл. Засега обаче остава незнайно по какъв начин файлът идва към рутера. Веднъж открила се на системата на админа на мрежата, програмата смъква спомагателни зловредни стратегии и модули, които оказват помощ, както за извличането, складирането и изпращането на откраднатите данни, по този начин и за сполучливото прикритие на офанзивата.
Специалистите показват, че съгласно тях уредниците на интервенцията е доста евентуално да са ведомствени хакери, зад които стои държавно управление, защото цялостната акция, употребяваните умения и запаси, технологическа експертиза и други фактори, надали са по-силите на киберпрестъпна група, а става дума точно за кибершпионаж. Kaspersky Lab показват също по този начин, че евентуално хората зад Slingshot са англоговорящи, само че припомнят, че приписването на съответен сътрудник в днешния киберсвят е съвсем невероятно, а и постоянно може да става думи за „ офанзива под непознат байрак “.
Източник: kaldata.com
КОМЕНТАРИ