卡巴斯基揭發一精心藏匿6年的間諜行動Slingshot

Slingshot 利用MikroTik路由器的惡意DDL檔入侵被害者的電腦，除了從事間諜行動蒐集資料，還會寄居於有漏洞的驅動程式以避免系統更新影響，偵測到系統進行鑑識時會自動關閉惡意元件，在硬碟中使用自己的加密檔案系統。

卡巴斯基實驗室（Kaspersky Lab）上周揭露一自2012年就開始活動的間諜行動Slingshot，這是一個非常靈活且運作良好的攻擊行動，且一直到今年才被發現，迄今已有接近100名受害者，目前看來集中在中東與非洲地區。

根據該實驗室的分析，駭客是藉由入侵MikroTik路由器再駭進許多受害者電腦，一般而言，路由器會下載與執行各種DDL檔案，駭客則在某個合法的DDL檔案中嵌入惡意DDL，此一DDL之後會再陸續下載其它存放於路由器上的惡意檔案。

Slingshot是在核心模式執行惡意檔案，而且會搜尋電腦上有漏洞的驅動程式來寄居，使其不被系統更新所影響。它有兩個主要程式，一是名為Cahnadr的核心模式模組，能於核心模式中運作，賦予駭客完整的權限，且在執行時不會造成藍屏，另一個則是GollumApp使用模式模組，內含近1,500種功能。

在上述兩個模組的協同運作下，駭客將能蒐集受害者的螢幕截圖、鍵盤輸入資料、網路資料、密碼、桌面活動、前貼簿或其他使用者行為，而且完全沒有開採任何的零時差漏洞。

Slingshot真正危險之處在於它運用了許多技倆來躲避偵測，甚至會在察覺到系統正進行鑑識研究時關閉惡意元件，還在硬碟中使用了自己的加密檔案系統。

《原文請見iThome（https://www.ithome.com.tw/news/121749）》