Slingshot: Malware infiziert Opfer über kompromittierte Router

Slingshot: Malware infiziert Opfer über kompromittierte Router

Kaspersky Lab warnt aktuell vor einer hochentwickelten und seit 2012 aktiven Cyberspionage-Malware. Dabei attackiert und infiziert die Malware ihre Opfer über kompromittierte Router. Das auf »Slingshot« getaufte Keylogger-Programm läuft im Kernel-Modus. Damit erhält es vollständige Kontrolle über die infizierten Geräte. Gerade der Kernel-Zugriff gestattet es Slingshot, den Zugriff auf jede Art von Daten zu erlangen. Zum Zweck der Cyberspionage versteckt das Programm Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen, weitere Desktop-Aktivitäten und Clipboard-Daten in markierten Datenpaketen. Ohne Spuren zu hinterlassen können diese Daten dann wieder aus dem regulären Datenstrom ausgelesen werden.

Slingshot arbeitet wie eine passive Backdoor. Die Schadsoftware ist mit einer schädlichen Dynamic Link Library (DLL) mit dem Namen „scesrv.dll“ ausgestattet, die zum Download weiterer schädlicher Komponenten führt. Loggt sich ein Administrator zur Konfiguration des Routers ein, lädt dessen Management-Software schädliche Module, wie ,Cahnadr‘ und ,GollumApp‘, auf den Administratorrechner und bringt sie dort zur Ausführung. Die beiden Module sind miteinander verbunden und arbeiten zusammen bei der Sammlung von Informationen und deren Exfiltration. Die Advanced Persistent Threat (APT) verfügt über vielfältige Techniken, um möglichst lange unentdeckt zu bleiben. So sind alle Zeichenketten in den Modulen verschlüsselt, die Systemdienste werden direkt aufgerufen, um Sicherheitslösungen keine Anhaltspunkte zu bieten. Hinzu kommen etliche Anti-Debugging-Techniken, zudem wird vor der Auswahl eines Prozesses zur Injizierung überprüft, welche Sicherheitslösungen installiert sind.

Die vorgefundenen Hinweise lassen bei den Entwickler hinter Slingshot auf eine organisierte, professionelle und wohl auch staatlich-gestützte Gruppe schließen. Bisher waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot betroffen. Die Angriffe fanden vorwiegend in Kenia, Jemen, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania statt. Sie wären überwiegend gegen Privatpersonen ausgerichtet und nicht gegen Organisationen, allerdings würden zudem einige Regierungseinrichtungen zu den Opfern zählen.

Alexey Shulmin, Lead Malware Analyst bei Kaspersky Lab, erklärt: „Slingshot stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen. Die Funktionalität ist äußerst präzise und für die Angreifer zugleich profitabel. Das erklärt, warum sich Slingshot mindestens sechs Jahre lang halten konnte.”

Bildquelle: geralt, thx! (CC0 Public Domain)

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.