Los investigadores de Kaspersky Lab han descubierto una amenaza sofisticada que se ha utilizado para ciberespionaje en Medio Oriente y África desde al menos 2012 hasta febrero de 2018. Este malware, al que los investigadores han llamado 'Slingshot', ataca e infecta a las víctimas a través de enrutadores infectados y puede funcionar en el modo de núcleo (kernel), dándole así el control completo sobre los dispositivos de la víctima. Según los investigadores, muchas de las técnicas utilizadas por este agente de amenazas son únicas y es extremadamente eficaz para recopilar información sigilosamente, ocultando su tráfico en paquetes de datos marcados que puede interceptar sin dejar rastros en las comunicaciones diarias.
Los investigadores de Kaspersky Lab han descubierto una amenaza sofisticada que se ha utilizado para ciberespionaje en Medio Oriente y África desde al menos 2012 hasta febrero de 2018. Este malware, al que los investigadores han llamado 'Slingshot', ataca e infecta a las víctimas a través de enrutadores infectados y puede funcionar en el modo de núcleo (kernel), dándole así el control completo sobre los dispositivos de la víctima. Según los investigadores, muchas de las técnicas utilizadas por este agente de amenazas son únicas y es extremadamente eficaz para recopilar información sigilosamente, ocultando su tráfico en paquetes de datos marcados que puede interceptar sin dejar rastros en las comunicaciones diarias.
La operación de Slingshot fue descubierta luego de que los investigadores encontraran un keylogger (programa que registra las pulsaciones en el teclado) y crearan una firma de detección de comportamiento para ver si ese código aparecía en otro lugar. Esto desencadenó una detección que resultó ser una computadora infectada con un archivo sospechoso dentro de la carpeta del sistema denominada scesrv.dll. Los investigadores decidieron investigar esto más a fondo. El análisis del archivo mostró que, a pesar de parecer legítimo, el módulo scesrv.dll tenía un código malicioso incrustado en él. Como esta biblioteca está cargada por 'services.exe', un proceso que tiene privilegios del sistema, la biblioteca envenenada obtuvo los mismos derechos. Los investigadores se dieron cuenta de que un intruso muy avanzado había encontrado el camino para llegar al núcleo mismo de la computadora.
Lo más notable de Slingshot es probablemente su inusual vector de ataque. A medida que los investigadores descubrían más víctimas, encontraron que muchas parecían haber sido infectadas inicialmente a través de enrutadores hackeados. Durante estos ataques, el grupo detrás de Slingshot parece infectar el enrutador y colocar dentro de él una biblioteca de enlaces dinámicos maliciosos que, en realidad, es un programa que descarga otros componentes maliciosos. Cuando el administrador inicia sesión para configurar el enrutador, el software descarga y pone en funcionamiento el módulo malicioso en la computadora del administrador. El método utilizado para hackear los enrutadores sigue siendo desconocido.
Después de la infección, Slingshot carga una gran cantidad de módulos en el dispositivo de la víctima, incluso dos que son enormes y poderosos: Cahnadr y GollumApp. Los dos módulos están conectados y pueden colaborar en la recopilación de información, persistencia y extracción de datos.
El propósito principal de Slingshot parece ser el ciberespionaje. El análisis sugiere que el malware recopila impresiones de pantalla, información del teclado, datos de la red, contraseñas, conexiones USB, otras actividades de la PC, información del portapapeles y más, aunque la posibilidad de acceso al kernel significa que puede robar lo que quiera.
Esta amenaza avanzada y persistente también incorpora una serie de técnicas que la ayudan a evitar la detección, incluyendo: el cifrado de todas las cadenas en sus módulos, llamadas a los sistemas de servicios directamente para eludir el monitoreo de soluciones de seguridad, la implementación de varias técnicas de anti-bug, y la selección de qué proceso inyectar dependiendo de los procesos de la solución de seguridad instalada, y más.
Lo más ingenioso de todo es que Slingshot puede ocultar su tráfico en protocolos legítimos de comunicación, interceptando paquetes de datos desde el kernel en busca de aquellos que llevan su propia marca especial, que entonces captura para examinarlos, sin dejar rastros o IPs del servidor de mando y control que puedan ser detectados.
Las muestras maliciosas examinadas por los investigadores estaban identificadas como 'versión 6.x', lo que sugiere que la amenaza ha existido durante un período considerable de tiempo. El tiempo de desarrollo, la habilidad y el costo involucrados en la creación del complejo grupo de herramientas de Slingshot probablemente ha sido extremadamente alto. En conjunto, estas pistas sugieren que es probable que el grupo que está detrás de Slingshot sea muy organizado y profesional, y probablemente patrocinado por algún estado. Las pistas de texto existentes en el código sugieren que es de habla inglesa. Sin embargo, atribuir con exactitud siempre es difícil, si no que imposible, y un proceso cada más propenso a la manipulación y error.
Hasta ahora, los investigadores han visto alrededor de 100 víctimas de Slingshot y sus módulos relacionados, ubicadas en Kenia, Yemen, Afganistán, Libia, Congo, Jordania, Turquía, Irak, Sudán, Somalia y Tanzania. La mayoría de las víctimas parecen ser personas a las que se ha dirigido específicamente el ataque en lugar de organizaciones, pero hay también algunas organizaciones e instituciones gubernamentales. Kenia y Yemen representan la mayoría de las víctimas observadas hasta el momento.
“Slingshot es una amenaza avanzada que emplea una amplia variedad de herramientas y técnicas, incluso módulos en el modo de kernel que hasta ahora solo se han visto en los atacantes más avanzados. La funcionalidad es muy valiosa y rentable para los atacantes, lo que podría explicar por qué ha existido durante al menos seis años”, dijo Alexey Shulmin, analista principal de malware de Kaspersky Lab.
Todos los productos de Kaspersky Lab detectan y bloquean exitosamente esta amenaza.
Para evitar ser víctimas de este tipo de ataque, los investigadores de Kaspersky Lab recomiendan implementar las siguientes medidas:
- Los usuarios de enrutadores Mikrotik deben de actualizar a la nueva versión del software lo antes posible para asegurar la protección contra vulnerabilidades conocidas. Además, el Mikrotik Winbox ya no realiza descargas desde el enrutador a la computadora del usuario.
- Usar una solución de seguridad probada de grado corporativo en combinación con tecnologías de ataque contra objetivos e inteligencia contra amenazas, como la solución Kaspersky Threat Management and Defense. Estas son capaces de localizar y detectar ataques dirigidos avanzados mediante el análisis de anomalías de la red y dan a los equipos de ciberseguridad visibilidad total sobre la red y automatización de la respuesta;
- Proporcionar al personal de seguridad acceso a los datos de inteligencia sobre amenazas más recientes, que les ayudará a armarse con herramientas útiles para la investigación y prevención de ataques dirigidos, como los indicadores de peligro (IOC, por sus siglas en inglés), reglas YARA e informes personalizados de amenazas avanzadas;
- Si usted detecta indicadores tempranos de un ataque dirigido, considere servicios de protección administrada que le permitirán detectar de manera proactiva las amenazas avanzadas, reducir el tiempo de permanencia y organizar la respuesta oportuna a los incidentes.
El informe sobre la amenaza persistente avanzada Slingshot está disponible en Securelist.
