הרוגטקה שהגיחה מהנתב

חוקרי קספרסקי חשפו את Slingshot - רוגלה האוספת צילומי מסך, נתוני הקלדות, נתוני רשת, סיסמאות, חיבורי USB ועוד

ליירט מבלי להשאיר עקבות. צילום: ALLVISION/BigStock

נחשפה רוגלת סייבר אשר פעלה במזרח התיכון ובאפריקה משנת 2012 ועד פברואר 2018. את הרוגלה חשפו חוקרי מעבדת קספרסקי (Kaspersky Lab).

הנוזקה, שזכתה לכינוי Slingshot (קלע, "רוגטקה"), תוקפת ומדביקה קורבנות דרך נתבים פרוצים. היא מסוגלת להריץ תהליכים ב-kernel mode כדי לקבל שליטה מלאה על מכשירי הקורבנות. על פי החוקרים, הטכניקות השונות ששימשו את הנוזקה הן ייחודיות ויעילות מאוד לצורך איסוף חשאי של נתונים: Slingshot מחביא את התעבורה שלו בחבילות נתונים (packets) בעלות סימון ייחודי, אותן הוא יכול ליירט מתעבורת הנתונים הרגילה – מבלי להשאיר עקבות.

Slingshot - How it attacks. עיצוב: קספרסקי

Slingshot – How it attacks. עיצוב: קספרסקי

פעילות Slingshot נחשפה לאחר שחוקרים מצאו תוכנת Keylogger חשודה ויצרו עבורה חתימה לזיהוי התנהגות – כדי לראות אם הקוד יופיע במקום אחר. החתימה הובילה לזיהוי נוסף של הקוד הזדוני במחשב נגוע, עם קובץ חשוד.

ניתוח של הקובץ הראה כי למרות שהוא נראה רגיל, נכללה בו נוזקה. מאחר וספרייה זו נטענת על ידי services.exe, תהליך בעל הרשאות גבוהות ברמת המערכת, הספרייה ה-"מורעלת" מקבלת גם היא את אותן הרשאות. החוקרים הגיעו למסקנה כי פורץ מתקדם מאוד מצא את דרכו אל לב ליבת המחשב.

אופן הדבקה ייחודי

החוקרים ציינו כי אפיק ההדבקה של Slingshot הוא יוצא דופן: כשהם גילו קורבנות נוספים, הם מצאו שרבים מהם הודבקו בראשונה דרך נתבים פרוצים. נראה שבמהלך המתקפות, הקבוצה שמאחורי Slingshot פרצה נתבים והציבה בהם ספריה דינאמית של קישורים זדוניים – זה היווה  רכיב להורדה (downloader) של קוד זדוני נוסף. כאשר אדמין נכנס להגדרות של נתב פרוץ שכזה, תוכנת הניהול של הנתב מורידה ומריצה מודול זדוני במחשב האדמין. הדרך בה הנתבים נפרצו במקור עדיין אינה ידועה.

לאחר ההדבקה, Slingshot טוען כמה מודולים אל מכשיר הקורבן, כולל שניים ענקיים: Cahndar ו-GollumApp. שני המודולים מחוברים ביניהם ומסוגלים לתמוך אחד בשני באיסוף נתונים, שמירה על עמידות במערכת וחילוץ נתונים.

Slingshot global attack geography. עיצוב: קספרסקי

Slingshot global attack geography. עיצוב: קספרסקי

המטרה המרכזית של Slingshot היא כנראה ריגול. הניתוח מראה כי הרוגלה אספה צילומי מסך, נתוני הקלדות, נתוני רשת, סיסמאות, חיבורי USB, נתוני clipboard ועוד.

הנוזקה משלבת גם כמה טכניקות שמסייעות לה להימנע מזיהוי: כולל הצפנה של כל המחרוזות במודול שלה, קריאה לשירותים באופן ישיר כדי לחמוק מנקודות בקרה של מוצרי אבטחה, שימוש בכמה טכניקות Anti-debugging, בחירה של התהליך אליו תוזרק הנוזקה בהתאם לתהליכי האבטחה המופעלים במכשיר, ועוד.

המספר הגדול ביותר של קורבנות

Slingshot עובדת כדלת אחורית פאסיבית: לא מקודדת בה כתובת של שרתי פיקוד או שליטה, והיא משיגה את הכתובת מהמפעיל באמצעות יירוט של כל ה-"חבילות" העוברות ברשת ב-Kernel mode. אם החבילה מכילה את כתובת שרתי הפיקוד והשליטה – אז Slingshot מבססת ערוץ תקשורת מוצפן עם שרתי הפיקוד והשליטה ומתחילה לחלץ דרכו נתונים.

זמן הפיתוח, היכולות והעלות הקשורים ביצירת מערך הכלים המורכב של Slingshot גבוהים ביותר, ציינו החוקרים. חיבור המאפיינים האלה, מצביע על כך שהקבוצה מאחורי Slingshot מאורגנת מאוד, מורכבת ממקצוענים, וכנראה פועלת במימון של מדינה. רמזים בטקסט ובקוד מצביעים על כך שמדובר על קבוצה דוברת אנגלית. עם זאת, קשה מאוד לבצע קביעה וודאית של ייחוס הקוד.

Slingshot APT

Slingshot APT

עד עתה, החוקרים זיהו כ-100 קורבנות של Slingshot ושל המודולים הקשורים בו, בקניה, תימן, אפגניסטן, קונגו, ירדן, טורקיה, עיראק, סודאן, סומליה וטנזניה. נראה שרוב הקורבנות הם אנשים יחידים ולא ארגונים, אבל ישנם גם כמה ארגונים ממשלתיים ומכונים. בקניה ותימן נמצא המספר הגדול ביותר של קורבנות עד עתה.

"היכולות של Slingshot הן יקרות ערך ורווחיות מאוד לתוקפים, דבר שיכול להסביר מדוע הוא נמצא בסביבה כבר לפחות שש שנים", אמר אלכסיי שולמין, אנליסט קוד זדוני, מעבדת קספרסקי.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים