Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Неизвестные хакеры заражают маршрутизаторы шпионским ПО Slingshot

Неизвестные хакеры заражают маршрутизаторы шпионским ПО Slingshot


12.03.2018

Неизвестные хакеры заражают маршрутизаторы шпионским ПО Slingshot

Исследователи безопасности из "Лаборатории Касперского"  выявили опасную хакерскую группировку, незаметно работающую по меньшей мере с 2012 года. Хакеры использовали сложное вредоносное ПО Slingshot для заражения сотен тысяч маршрутизаторов на Ближнем Востоке и в Африке.

 Согласно отчету экспертов, группировка эксплуатирует неизвестные уязвимости в маршрутизаторах от латвийского поставщика сетевого оборудования Mikrotik, скрытно устанавливая свое шпионское ПО на компьютеры жертв.

 До конца неясно, как именно хакерам удалось скомпрометировать маршрутизаторы, однако исследователи указали на утекший эксплоит ЦРУ США ChimayRed, опубликованный WikiLeaks в рамках проекта Vault 7.

 Взломав маршрутизатор, злоумышленники заменяют одну из DDL-библиотек вредоносной, загружая ее непосредственно в память компьютера жертвы при запуске программного обеспечения Winbox Loader.

 Таким образом, вредоносная DLL-библиотека запускается на целевом компьютере и подключается к удаленному серверу для загрузки конечной полезной нагрузки, а именно вредоносной программы Slingshot.

 Вредонос включает в себя два модуля: Cahnadr (модуль режима ядра) и GollumApp (модуль пользовательского режима), предназначенные для сбора информации, сохранении присутствия на системе и хищения данных.

 Модуль Cahnadr, также известный как NDriver, имеет функции анти-отладки, руткита и анализа трафика, установки других модулей и пр.

 "Написанный на языке программирования C, Canhadr/Ndriver обеспечивает полный доступ к жесткому диску и оперативной памяти, несмотря на ограничения безопасности устройства, и выполняет контроль целостности различных компонентов системы, чтобы избежать обнаружения решениями безопасности", - отметили эксперты.

 В свою очередь GollumApp представляет собой сложный модуль, обладающий широким спектром шпионских функций, которые позволяют злоумышленникам делать снимки экрана, собирать информацию о сети, похищать сохраненные в web-браузерах пароли, считывать нажатия клавиш и поддерживать связь с удаленными C&C-серверами.

 Поскольку GollumApp работает в режиме ядра и может также запускать новые процессы с привилегиями SYSTEM, вредоносное ПО дает злоумышленникам полный контроль над зараженными системами.

 Проанализировав сложные методы, используемые хакерами и список их жертв, исследователи пришли к выводу, что данная группировка является англоязычной и скорее всего связана с правительством какой-либо страны.

 Жертвами хакеров стали отдельные лица и ряд правительственных организаций в различных странах, включая Кению, Йемен, Ливию, Афганистан, Ирак, Танзанию, Иорданию, Маврикий, Сомали, Демократическую Республику Конго, Турцию, Судан и Объединенные Арабские Эмираты.

 Winbox Loader - инструмент управления, разработанный Mikrotik для пользователей Windows для легкой настройки маршрутизаторов. Программа загружает некоторые DLL-библиотеки с маршрутизатора и исполняет их в системе.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.