Slingshot: der Spion, der aus dem Router kam

Business

Eine der interessantesten Enthüllungen unserer Forscher beim Kaspersky Security Analyst Summit (SAS) in diesem Jahr war ein Bericht über eine hochentwickelte Cyberspionage-Kampagne namens Slingshot. Bislang richteten sich die Attacken überwiegend gegen Privatpersonen, nicht aber gegen Organisationen.

Angriffsvektor

Die bemerkenswerte Eigenschaft von Slingshot ist sein ungewöhnlicher Angriffsweg. Unseren Erkenntnissen zufolge, ging die Infektion in mehreren Fällen von infizierten MikroTik-Routern aus. Die hinter Slingshot stehende Gruppe hatte die Router offensichtlich mit einer schädlichen Dynamic Link Library (DLL) kompromittiert, die zum Download anderer schädlicher Komponenten diente. Loggt sich ein Administrator zur Konfiguration des Routers ein, lädt dessen Management-Software schädliche Module auf den Administratorrechner und bringt sie dort zur Ausführung.

What makes this initial attack vector unique is that, according to our research, many victims were attacked through compromised routers made by MikroTik

An dieser Stelle möchten wir hinzufügen, dass wir dem Entwickler das Problem bereits gemeldet haben; MikroTik hat sich bereits mit diesem Problem befasst. Unsere Experten sind jedoch der Meinung, dass es sich bei MikroTik nicht um die einzige Marke handelt, die von den Slingshot-Akteuren genutzt wird – es kann möglicherweise auch andere kompromittierte Geräte geben.

Ein weiterer interessanter Aspekt der Cyberspionage-Malware Slingshot: Sie ist in der Lage im Kernel-Modus zu laufen. In aktualisierten Betriebssystemen war das wegen fehlender Sicherheitslücken fast unmöglich; deshalb lud die Malware zunächst als anfällig signierte Treiber herunter und führte dann ihren eigenen Code aus.

Bösartige Module

Nach der Infektion lädt Slingshot mehrere Module auf die Geräte seiner Opfer. Dazu gehören auch „Cahnadr“ und „GollumApp“.

Ausgeführt im Kernel-Modus, gibt Cahnadr den Angreifern die vollständige Kontrolle über den infizierten Computer. Darüber hinaus – und im Gegensatz zu anderer Malware, die versucht im Kernel-Modus zu arbeiten – kann Slingshot Code ausführen ohne einen Absturz des Dateisystems oder einen Blue Screen zu provozieren. GollumApp hingegen ist noch raffinierter und enthält rund 1500 User-Code-Funktionen.

Dank dieser Module kann Slingshot Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, andere Desktop-Aktivitäten, Dateien in der Zwischenablage und vieles mehr sammeln. Und all das, ohne die Zero-Day-Schwachstellen auszunutzen. Zumindest haben unsere Experten bislang noch keine Beweise gefunden, die darauf hindeuten, dass diese von Slingshot ausgenutzt werden.

So versucht Slingshot unentdeckt zu bleiben

Was Slingshot so unglaublich gefährlich macht, sind die zahlreichen Techniken, die die Akteure nutzen, um sich einer Erkennung zu widersetzen. Alle Zeichenketten in den Modulen sind verschlüsselt und die Systemdienste warden direct aufgerufen, um Sicherheitslösungen keine Anhaltspunkte zu bieten. Darüber hinaus verwendet Slingshot sein eigenes verschlüsseltes Dateisystem in einem ungenutzten Teil der Festplatte. Weitere Informationen zu Slingshot finden Sie auf Securelist.

Das können Sie tun

Nutzer von Mikrotik-Routern und WinBox sollten so schnell wie möglich das Upgrade auf die aktuelle Software-Version durchführen und sicherstellen, dass der Router auf die neuste Version seines Betriebssystems aktualisiert wurde. Updates schützen Sie allerdings nur vor dem Angriffsvektor, nicht der APT selbst.

Unternehmen sollten eine geeignete Sicherheitslösung in Kombination mit Technologien zur Abwehr zielgerichteter Angriffe und Threat Intelligence einsetzen, wie sie etwa die Lösung Kaspersky Threat Management and Defense bietet.

Kaspersky Anti Targeted Attack nutzt bewährte Technologien, um Anomalien im Netzwerkverkehr zu finden, verdächtige Prozesse zu isolieren und nach Zusammenhängen zwischen Ereignissen zu suchen. Kaspersky Endpoint Detection and Response dient der Zusammenfassung und Visualisierung der gesammelten Daten, was bei der Untersuchung von Vorfällen von entscheidender Bedeutung ist. Dank unserer professionellen Services erhalten Sie das ganze Jahr über durchgängigen Support, können Schulungen für die Mitarbeiter Ihrer Überwachungszentrale anfordern oder die Awareness Ihrer Unternehmensmitarbeiter steigern. Mehr Details zu unserer Lösung finden Sie hier.