6 年間検出されなかったルーター マルウェア「Slingshot」は、これまでに見られた中で最も高度な攻撃の 1 つ

Kaspersky の新しいレポートにより、MikroTik ルーターに影響を与える高度なスパイ活動が 2012 年以来検出されなかったことが明らかになりました。

Slingshot として知られるこのキャンペーンは、感染したルーターで「ローダー」を使用して被害者のコンピュータにさらに悪意のあるコンポーネントをインストールし、最終的にハッカーがシステムを完全に制御できるようにするというものです。

ロシアのセキュリティ会社は、MikroTikルーターがどのようにして最初に侵害されたかは明らかではないが、攻撃者は悪意のあるDLL（ダイナミックリンクライブラリ）を「他のDLLの正当なパッケージに」追加する「方法を見つけた」と述べている。

この悪意のあるライブラリ ファイルは、他の「モジュール」（Cahnadr と呼ばれるカーネル モード モジュールや GollumApp と呼ばれるユーザー モード モジュールなど）が PC を制御してデータを取得する前に、ルーター管理者の PC に感染するために使用されます。すべてゼロを使用する必要はありません。 -日のエクスプロイト。

スリングショット 「スクリーンショット、キーボード データ、ネットワーク データ、パスワード、USB 接続、その他のデスクトップ アクティビティ、クリップボードなどを収集します」と Kaspersky FAQ ページでは説明されています。 「しかし、システムのカーネル部分に完全にアクセスできるため、クレジット カード番号、パスワード ハッシュ、社会保障口座番号など、あらゆる種類のデータを盗むことができます。」

カーネルにアクセスする他のマルウェアとは異なり、Cahnadr はコードの実行時にブルー スクリーンを表示させません。また、Slingshot には検出を回避するための他のトリックも用意されています。

「フォレンジック研究を示す可能性のある兆候を検出すると、コンポーネントをシャットダウンする可能性があると、このキャンペーンに関するカスペルスキーのブログ投稿で説明されています。さらに、Slingshot はハードドライブの未使用部分に独自の暗号化ファイル システムを使用します。」

報告書の大半はMikroTikルーターについて言及しているが、カスペルスキーの研究者らは、関与する行為者が多用途であるため「他の拡散方法」の可能性を排除できないと考えている。具体的には、調査中に、チームは「Slingshot コンポーネントの別のダウンローダー」である KPWS と呼ばれるコンポーネントを発見しました。

カスペルスキーは、その複雑さの点で、Slingshot は 5 年間検出されなかったスパイプラットフォームである Project Sauron や Regin に匹敵すると主張しています。 「Slingshot は非常に複雑であり、その開発者がその作成に多大な時間と資金を費やしたことは明らかです」と FAQ には説明されています。その感染経路は注目に値し、私たちの知る限りでは独特です。」

カスペルスキーは 2012 年に遡って悪意のある活動を特定しましたが、スリングショットの被害者はケニア、イエメン、アフガニスタン、リビア、コンゴ、ヨルダン、トルコ、イラク、スーダン、ソマリア、タンザニアにいた合計約 100 人だけでした。

「被害者のほとんどは組織ではなく個人が標的になっているようですが、政府組織や機関もいくつかあります。これまでに確認された犠牲者の大半はケニアとイエメンが占めている。」

Kaspersky は Slingshot を MikroTik に報告しました。MikroTik はソフトウェア アップデートでユーザーをエクスプロイトから保護しました。さらにカスペルスキーは、「高度な標的型攻撃からビジネスを守るには、戦略的アプローチを導入する必要がある」と述べ、脅威管理および防御プラットフォームの導入を推奨しています。