Slingshot: המרגל שהגיח מהנתב

Google+ Pinterest LinkedIn Tumblr +

חוקרי מעבדת קספרסקי חשפו איום מתוחכם המשמש לריגול סייבר, ואשר פעל במזרח התיכון ובאפריקה משנת 2012 (לפחות) ועד פברואר 2018. הקוד הזדוני, אותו החוקרים מכנים Slingshot, תוקף ומדביק קורבנות דרך נתבים פרוצים. הקוד מסוגל להריץ תהליכים ב-kernel mode כדי לקבל שליטה מלאה על מכשירי הקורבנות. על פי החוקרים, הטכניקות השונות ששימשו את גורם האיום הן ייחודיות ויעילות מאוד לצורך איסוף חשאי של נתונים, כאשר Slingshot מחביא את התעבורה שלו בחבילות נתונים (packets) בעלי סימון ייחודי אותן הוא יכול ליירט מתעבורת הנתונים הרגילה מבלי להשאיר עקבות.

פעילות Slingshot נחשפה לאחר שחוקרים מצאו תוכנת Keylogger חשודה ויצרו עבורה חתימה לזיהוי התנהגות כדי לראות אם הקוד יופיע במקום אחר. החתימה הובילה לזיהוי נוסף של הקוד הזדוני במחשב נגוע, עם קובץ חשוד בשם scesrv.dll שנמצא בתוך תיקיית המערכת. החוקרים החליטו לחקור את הדברים לעומק. ניתוח של הקובץ הראה כי למרות שהוא נראה רגיל, נכלל בו קוד זדוני. מאחר וספרייה זו נטענת על ידי services.exe, תהליך בעל הרשאות גבוהות ברמת המערכת, הספרייה ה"מורעלת" מקבלת גם היא את אותן הרשאות. החוקרים הגיעו למסקנה כי פורץ מתקדם מאוד מצא את דרכו אל לב ליבת המחשב.

הדבר יוצא הדופן לגבי Slingshot הוא כנראה אפיק ההתקפה יוצא הדופן. כאשר החוקרים גילו קורבנות נוספים, הם מצאו כי רבים מהם הודבקו לראשונה דרך נתבים פרוצים. נראה שבמהלך התקפות אלה, הקבוצה שמאחורי Slingshot פרצה נתבים והציבה בהם ספריה דינאמית של קישורים זדוניים – זה היווה  למעשה רכיב להורדה (downloader) של קוד זדוני נוסף. כאשר אדמין נכנס להגדרות של נתב פרוץ שכזה, תוכנת הניהול של הנתב מורידה ומריצה מודול זדוני במחשב האדמין. הדרך בה הנתבים נפרצו במקור עדיין אינה ידועה.

לאחר ההדבקה, Slingshot טוען מספר מודולים אל מכשיר הקורבן, כולל שניים ענקיים ועוצמתיים: Cahndar ו- GollumApp. שני המודולים מחוברים ביניהם, ומסוגלים לתמוך אחד בשני באיסוף נתונים, שמירה על עמידות במערכת וחילוץ נתונים.

המטרה המרכזית של Slingshot היא כנראה ריגול. הניתוח מראה כי הקוד הזדוני אסף צילומי מסך, נתוני הקלדות, נתוני רשת, סיסמאות, חיבורי USB, נתוניclipboard ועוד. זאת, למרות שגישת ה- kernel אפשרה ל- Slingshot לגנוב כל מידע למעשה שעניין את הפורצים.

האיום המתקדם משלב גם מספר טכניקות שמסייעות לו להימנע מזיהוי: כולל הצפנה של כל המחרוזות במודול שלו, קריאה לשירותים באופן ישיר כדי לחמוק מנקודות בקרה של מוצרי אבטחה, שימוש במספר טכניקות  Anti-debugging, בחירה של התהליך אליו יוזרק הקוד הזדוני בהתאם לתהליכי האבטחה המופעלים במכשיר, ועוד.

Slingshot עובד כדלת אחורית פאסיבית: לא מקודדת בו כתובת של שרתי פיקוד או שליטה, והוא משיג את הכתובת מהמפעיל באמצעות יירוט של כל ה"חבילות" העוברות ברשת ב- Kernel mode. הקוד הזדוני בודק אם החבילות מכילות (ב-header) שני משתני מפתח קבועים מראש. במקרה והם מופיעים, המשמעות היא שהחבילה מכילה את כתובת שרתי הפיקוד והשליטה. לאחר מכן, Slingshot מבסס ערוץ תקשורת מוצפן עם שרתי הפיקוד והשליטה ומתחיל לחלץ דרכו נתונים.

הדוגמיות הזדוניות שנחקרו סומנו כ"גרסה 6.x", סימון המצביע על כך שהאיום קיים כבר זמן רב. זמן הפיתוח, היכולות והעלות הקשורים ביצירת מערך הכלים המורכב של Slingshot אמורים להיות גבוהים ביותר. חיבור של המאפיינים האלה, מצביע על כך שהקבוצה מאחורי Slingshot מאורגנת מאוד, מורכבת ממקצוענים, וכנראה פועלת במימון של מדינה. רמזים בטקסט ובקוד מצביעים על כך שמדובר על קבוצה דוברת אנגלית. עם זאת, קשה מאוד לבצע קביעה וודאית של ייחוס הקוד מאחר והדבר פתוח מאוד לטעויות והטעיות.

עד עתה, החוקרים זיהו כ- 100 קורבנות של Slingshot ושל המודולים הקשורים בו, בקניה, תימן, אפגניסטן, קונגו, ירדן, טורקיה, עיראק, סודאן, סומליה וטנזניה. נראה שרוב הקורבנות הם אנשים יחידים ולא ארגונים, אבל ישנם גם מספר ארגונים ממשלתיים ומכונים. בקניה ותימן נמצא המספר הגדול ביותר של קורבנות עד עתה.

"Slingshot הוא איום מתוחכם המפעיל טווח רחב של כלים וטכניקות, כולל מודולים של Kernel mode שעד היום נצפו רק אצל התוקפים המתקדמים ביותר. היכולות שלו הם יקרות ערך ורווחיות מאוד לתוקפים, דבר שיכול להסביר מדוע הוא נמצא בסביבה כבר לפחות 6 שנים", אמר אלכסיי שולמין, אנליסט קוד זדוני, מעבדת קספרסקי. כל מוצרי מעבדת קספרסקי מזהים וחוסמים בהצלחה איום זה.

חוקרי מעבדת קספרסקי ממליצים להטמיע את האמצעים הבאים:

משתמשים של נתבי Mikrotik נדרשים לשדרג לגרסת התוכנה האחרונה בהקדם האפשרי, כדי להבטיח הגנה מפני פרצות ידועות. Mikrotik Winboxכבר אינו מבצע הורדות מהנתב אל מחשב המשתמש.

  • יש להשתמש בפתרון אבטחה ברמה ארגונית, המשלב טכנולוגיות נגד התקפות ממוקדות ומודיעין איומים, כגון Kaspersky Threat Management and Defense. יכולות אלה מסוגלות לזהות וללכוד התקפות ממוקדות מתקדמות באמצעות ניתוח של פעילות חריגה ברשת, והן מעניקות לצוותי אבטחת סייבר שקיפות מלאה על פעילות הרשת ויכולת תגובה אוטומטית.
  • יש לספק לאנשי אבטחה גישה לנתוני מודיעין האיומים העדכניים ביותר, אשר יחמשו אותם בכלים יעילים למחקר ומניעה של התקפות ממוקדות – כגון סממנים לפריצה (IOC), חוקי YARA ודוחות איומים מתקדמים ומותאמים אישית.  
  • אם אתם מזהים סממנים מוקדמים של התקפה ממוקדת, מומלץ לשקול הפעלה של שירותי הגנה מנוהלים, שיאפשרו לכם לזהות איומים מתקדמים באופן פרואקטיבי, לקצר זמני תגובה ולארגן תגובה ראויה לאירוע.

הדוח על פעילות Slingshot זמין ב- Securelist

שתף.

.