توزیع جاسوسافزار Slingshot توسط یک گروه هکری در خاورمیانه
محققان امنیتی کسپرسکی بهتازگی موفق به شناسایی یک گروه هکری پیچیده APT شدند که از سال ۲۰۱۲ فعالیت میکند. این گروه از تکنیکهای هوشمندانه و پیچیدهای استفاده میکند که جزییات آن توسط کسپر افشا نشده است.
گروه هکری شناساییشده توسط کسپر با استفاده از بدافزاری پیشرفته با نام Slingshot موفق به هک روترهای صدها هزار قربانی در آفریقا و خاورمیانه شده است. جاسوسافزار Slingshot شامل دو ماژول به نامهای GollumApp و Cahnadr است که برای جمعآوری اطلاعات، ماندگاری و استخراج دیتا مورداستفاده قرار میگیرد.
بنا به گزارش ۲۵ صفحهای منتشر شده از سوی کسپرسکی، گروه مذکور از چندین آسیبپذیری ناشناخته در روترهای مشهور میکروتیک سوء استفاده میکند و بعد از هک این روترها، جاسوسافزار خود را روی سیستم قربانی نصب میکند. (برای دریافت گزارش کسپرسکی اینجا کلیک کنید.)
طبق این گزارش بعد از هک روترهای میکروتیک، مهاجم یکی از فایلهای DDL را با یک نمونه مخرب جایگزین میکند. این فایل بهطور مستقیم موقع اجرای برنامه Winbox Loader توسط کاربر، روی حافظه سیستم قربانی نصب میشود.
برنامه Winbox Loader نوعی ابزار مدیریتی است که از سوی میکروتیک برای کاربران ویندوز طراحیشده است. از طریق این برنامه کاربران میتوانند بهراحتی روترهای خود را پیکربندی کنند و فایلهای DLL را بارگذاری و روی سیستم خود اجرا کنند.
گفتنی است از این طریق فایل DLL مخرب روی کامپیوتر هدف اجراشده و با سرور راه دور خود ارتباط برقرار میکند و بار داده نهایی مخرب خود را که میتواند همان جاسوسافزار Slingshot باشد، دانلود میکند.
جالب است بدانید بااینکه جزییاتی از چگونگی بهرهگیری از آسیبپذیری روترها منتشرنشده، کسپرسکی در گزارش خود اشاراتی به اسناد افشاشده CIA در ویکی لیکس داشته است. در این اسناد در مورد اکسپلویت Chimay Red توضیحاتی ارائه شده که میتواند امنیت روترهای میکروتیک را تهدید کند.
لازم به ذکر است با وجود اینکه کسپرسکی این گروه را به کشور مشخصی منتسب نکرده است، از شواهد میتوان نتیجه گرفت این گروه بسیار ماهر، مسلط به زبان انگلیسی و تحت حمایت دولتی باشند.
منبع: http://cyberz.ir/3392-2