توزیع جاسوس‌افزار Slinghshot توسط یک گروه هکری در خاورمیانه

0
301
توزیع جاسوس‌افزار Slinghshot توسط یک گروه هکری در خاورمیانه

محققان امنیتی کسپرسکی به‌تازگی موفق به شناسایی یک گروه هکری پیچیده APT شدند که از سال ۲۰۱۲ فعالیت می‌کند. این گروه از تکنیک‌های هوشمندانه و پیچیده‌ای استفاده می‌کند که جزییات آن توسط کسپر افشا نشده است.

گروه هکری شناسایی‌شده توسط کسپر با استفاده از بدافزاری پیشرفته با نام Slinghshot موفق به هک روترهای صدها هزار قربانی در آفریقا و خاورمیانه شده است. جاسوس‌افزار Slinghshot شامل دو ماژول به نام‌های GollumApp و Cahnadr است که برای جمع‌آوری اطلاعات، ماندگاری و استخراج دیتا مورداستفاده قرار می‌گیرد.

بنا به گزارش ۲۵ صفحه‌ای منتشر شده از سوی کسپرسکی، گروه مذکور از چندین آسیب‌پذیری ناشناخته در روترهای مشهور میکروتیک سوءاستفاده می‌کند و بعد از هک این روترها، جاسوس‌افزار خود را روی سیستم قربانی نصب می‌کند. (برای دریافت گزارش کسپرسکی اینجا کلیک کنید.)

طبق این گزارش بعد از هک روترهای میکروتیک، مهاجم یکی از فایل‌های DDL را با یک نمونه مخرب جایگزین می‌کند. این فایل به‌طور مستقیم موقع اجرای برنامه Winbox Loader  توسط کاربر، روی حافظه سیستم قربانی نصب می‌شود.

برنامه Winbox Loader  نوعی ابزار مدیریتی است که از سوی میکروتیک برای کاربران ویندوز طراحی‌شده است. از طریق این برنامه کاربران می‌توانند به‌راحتی روترهای خود را پیکربندی کنند و فایل‌های DLL را بارگذاری و روی سیستم خود اجرا کنند.

گفتنی است از این طریق فایل DLL مخرب روی کامپیوتر هدف اجراشده و با سرور راه دور خود ارتباط برقرار می‌کند و بار داده نهایی مخرب خود را که می‌تواند همان جاسوس‌افزار Slingshot باشد، دانلود می‌کند.

جالب است بدانید بااینکه جزییاتی از چگونگی بهره‌گیری از آسیب‌پذیری روترها  منتشرنشده، کسپرسکی در گزارش خود اشاراتی به اسناد افشاشده CIA در ویکی لیکس داشته است. در این اسناد در مورد اکسپلویت Chimay Red  توضیحاتی ارائه شده که می‌تواند امنیت روترهای میکروتیک را تهدید کند.

لازم به ذکر است باوجود اینکه کسپرسکی این گروه را به کشور مشخصی منتسب نکرده است، از شواهد می‌توان نتیجه گرفت این گروه بسیار ماهر، مسلط به زبان انگلیسی و تحت حمایت دولتی باشند.