卡巴斯基揭發一精心藏匿6年的間諜行動Slingshot
Slingshot 利用MikroTik路由器的惡意DDL檔入侵被害者的電腦,除了從事間諜行動蒐集資料,還會寄居於有漏洞的驅動程式以避免系統更新影響,偵測到系統進行鑑識時會自動關閉惡意元件,在硬碟中使用自己的加密檔案系統。
卡巴斯基實驗室(Kaspersky Lab)上周揭露一自2012年就開始活動的間諜行動Slingshot,這是一個非常靈活且運作良好的攻擊行動,且一直到今年才被發現,迄今已有接近100名受害者,目前看來集中在中東與非洲地區。
根據該實驗室的分析,駭客是藉由入侵MikroTik路由器再駭進許多受害者電腦,一般而言,路由器會下載與執行各種DDL檔案,駭客則在某個合法的DDL檔案中嵌入惡意DDL,此一DDL之後會再陸續下載其它存放於路由器上的惡意檔案。
Slingshot是在核心模式執行惡意檔案,而且會搜尋電腦上有漏洞的驅動程式來寄居,使其不被系統更新所影響。它有兩個主要程式,一是名為Cahnadr的核心模式模組,能於核心模式中運作,賦予駭客完整的權限,且在執行時不會造成藍屏,另一個則是GollumApp使用模式模組,內含近1,500種功能。
在上述兩個模組的協同運作下,駭客將能蒐集受害者的螢幕截圖、鍵盤輸入資料、網路資料、密碼、桌面活動、前貼簿或其他使用者行為,而且完全沒有開採任何的零時差漏洞。
Slingshot真正危險之處在於它運用了許多技倆來躲避偵測,甚至會在察覺到系統正進行鑑識研究時關閉惡意元件,還在硬碟中使用了自己的加密檔案系統。
《原文請見iThome(https://www.ithome.com.tw/news/121749)》