Slingshot: en peligroso APT para Microtik

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Investigadores de seguridad rusos han identificado un sofisticado grupo de piratería de APT que ha estado operando desde al menos 2012 sin ser notado debido a sus complejas e inteligentes técnicas de piratería.

El grupo de piratas informáticos usó un trozo de malware avanzado, denominado Slingshot, para infectar a cientos de miles de víctimas en Medio Oriente y África pirateando sus routers.

El grupo cibercriminal aprovechó las vulnerabilidades desconocidas en los routers de Mikrotik como su primer vector de infección para plantar encubiertamente su spyware en las computadoras de las víctimas.

 Aunque no está claro cómo el grupo logró comprometer los routers en primer lugar, los investigadores rusos denunciaron a WikiLeaks Vault 7 CIA Leaks, que reveló el exploit ChimayRed, ahora disponible en GitHub, para comprometer los routers Mikrotik.

Una vez que el router se ve comprometido, los atacantes reemplazan uno de sus archivos DDL (bibliotecas de enlaces dinámicos) por uno malicioso del sistema de archivos, que carga directamente en la memoria de la computadora de la víctima cuando el usuario ejecuta el software Winbox Loader.

Slingshot

Winbox Loader es una herramienta de administración legítima diseñada por Mikrotik para que los usuarios de Windows configuren fácilmente sus enrutadores, que descarguen algunos archivos DLL del enrutador y los ejecuten en un sistema.

De esta forma, el archivo DLL malicioso se ejecuta en la computadora de destino y se conecta a un servidor remoto para descargar la carga final, es decir, el malware Slingshot.

El software malicioso de Slingshot incluye dos módulos: Cahnadr (un módulo de modo kernel) y GollumApp (un módulo de modo de usuario), diseñado para la recopilación de información, la persistencia y la extracción de datos.

 El módulo Cahnadr, también conocido como NDriver, se ocupa de la funcionalidad de eliminación de errores, rooteo y rastreo, inyectando otros módulos, comunicaciones de red, básicamente todas las capacidades requeridas por los módulos de modo de usuario.

Escrito en lenguaje C puro, Canhadr / Ndriver proporciona acceso completo al disco duro y la memoria operativa a pesar de las restricciones de seguridad del dispositivo, y lleva a cabo un control de integridad de varios componentes del sistema para evitar la detección de fallas y la seguridad.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris