קספרסקי חושף קמפיין ריגול מדינתי תחת השם Slingshot

קספרסקי חושף קמפיין ריגול מדינתי תחת השם Slingshot

קרדיט: קספרסקי

חוקרי מעבדת קספרסקי חשפו איום מתוחכם המשמש לריגול סייבר, ואשר פעל במזרח התיכון ובאפריקה משנת 2012 (לפחות) ועד פברואר 2018. הקוד הזדוני, אותו החוקרים מכנים Slingshot, תוקף ומדביק קורבנות דרך נתבים פרוצים. הקוד מסוגל להריץ תהליכים ב-kernel mode כדי לקבל שליטה מלאה על מכשירי הקורבנות. על פי החוקרים, הטכניקות השונות ששימשו את גורם האיום הן ייחודיות ויעילות מאוד לצורך איסוף חשאי של נתונים, כאשר Slingshot מחביא את התעבורה שלו בחבילות נתונים (packets) בעלי סימון ייחודי אותן הוא יכול ליירט מתעבורת הנתונים הרגילה מבלי להשאיר עקבות.

פעילות Slingshot נחשפה לאחר שחוקרים מצאו תוכנת Keylogger חשודה ויצרו עבורה חתימה לזיהוי התנהגות כדי לראות אם הקוד יופיע במקום אחר. החתימה הובילה לזיהוי נוסף של הקוד הזדוני במחשב נגוע, עם קובץ חשוד בשם scesrv.dll שנמצא בתוך תיקיית המערכת. החוקרים החליטו לחקור את הדברים לעומק. ניתוח של הקובץ הראה כי למרות שהוא נראה רגיל, נכלל בו קוד זדוני. מאחר וספרייה זו נטענת על ידי services.exe, תהליך בעל הרשאות גבוהות ברמת המערכת, הספרייה ה"מורעלת" מקבלת גם היא את אותן הרשאות. החוקרים הגיעו למסקנה כי פורץ מתקדם מאוד מצא את דרכו אל לב ליבת המחשב.

הדבר יוצא הדופן לגבי Slingshot הוא כנראה אפיק ההתקפה יוצא הדופן. כאשר החוקרים גילו קורבנות נוספים, הם מצאו כי רבים מהם הודבקו לראשונה דרך נתבים פרוצים. נראה שבמהלך התקפות אלה, הקבוצה שמאחורי Slingshot פרצה נתבים והציבה בהם ספריה דינאמית של קישורים זדוניים – זה היווה  למעשה רכיב להורדה (downloader) של קוד זדוני נוסף. כאשר אדמין נכנס להגדרות של נתב פרוץ שכזה, תוכנת הניהול של הנתב מורידה ומריצה מודול זדוני במחשב האדמין. הדרך בה הנתבים נפרצו במקור עדיין אינה ידועה.

לאחר ההדבקה, Slingshot טוען מספר מודולים אל מכשיר הקורבן, כולל שניים ענקיים ועוצמתיים: Cahndar ו- GollumApp. שני המודולים מחוברים ביניהם, ומסוגלים לתמוך אחד בשני באיסוף נתונים, שמירה על עמידות במערכת וחילוץ נתונים. המטרה המרכזית של Slingshot היא כנראה ריגול. הניתוח מראה כי הקוד הזדוני אסף צילומי מסך, נתוני הקלדות, נתוני רשת, סיסמאות, חיבורי USB, נתוני clipboard ועוד. זאת, למרות שגישת ה- kernel אפשרה ל- Slingshot לגנוב כל מידע למעשה שעניין את הפורצים.

האיום המתקדם משלב גם מספר טכניקות שמסייעות לו להימנע מזיהוי: כולל הצפנה של כל המחרוזות במודול שלו, קריאה לשירותים באופן ישיר כדי לחמוק מנקודות בקרה של מוצרי אבטחה, שימוש במספר טכניקות  Anti-debugging, בחירה של התהליך אליו יוזרק הקוד הזדוני בהתאם לתהליכי האבטחה המופעלים במכשיר, ועוד.

Slingshot עובד כדלת אחורית פאסיבית: לא מקודדת בו כתובת של שרתי פיקוד או שליטה, והוא משיג את הכתובת מהמפעיל באמצעות יירוט של כל ה"חבילות" העוברות ברשת ב- Kernel mode. הקוד הזדוני בודק אם החבילות מכילות (ב-header) שני משתני מפתח קבועים מראש. במקרה והם מופיעים, המשמעות היא שהחבילה מכילה את כתובת שרתי הפיקוד והשליטה. לאחר מכן, Slingshot מבסס ערוץ תקשורת מוצפן עם שרתי הפיקוד והשליטה ומתחיל לחלץ דרכו נתונים.

הדוגמיות הזדוניות שנחקרו סומנו כ"גרסה 6.x", סימון המצביע על כך שהאיום קיים כבר זמן רב. זמן הפיתוח, היכולות והעלות הקשורים ביצירת מערך הכלים המורכב של Slingshot אמורים להיות גבוהים ביותר. חיבור של המאפיינים האלה, מצביע על כך שהקבוצה מאחורי Slingshot מאורגנת מאוד, מורכבת ממקצוענים, וכנראה פועלת במימון של מדינה. רמזים בטקסט ובקוד מצביעים על כך שמדובר על קבוצה דוברת אנגלית. עם זאת, קשה מאוד לבצע קביעה וודאית של ייחוס הקוד מאחר והדבר פתוח מאוד לטעויות והטעיות.

עד עתה, החוקרים זיהו כ- 100 קורבנות של Slingshot ושל המודולים הקשורים בו, בקניה, תימן, אפגניסטן, קונגו, ירדן, טורקיה, עיראק, סודאן, סומליה וטנזניה. נראה שרוב הקורבנות הם אנשים יחידים ולא ארגונים, אבל ישנם גם מספר ארגונים ממשלתיים ומכונים. בקניה ותימן נמצא המספר הגדול ביותר של קורבנות עד עתה.

"Slingshot הוא איום מתוחכם המפעיל טווח רחב של כלים וטכניקות, כולל מודולים של Kernel mode שעד היום נצפו רק אצל התוקפים המתקדמים ביותר. היכולות שלו הם יקרות ערך ורווחיות מאוד לתוקפים, דבר שיכול להסביר מדוע הוא נמצא בסביבה כבר לפחות 6 שנים", אמר אלכסיי שולמין, אנליסט קוד זדוני, מעבדת קספרסקי. כל מוצרי מעבדת קספרסקי מזהים וחוסמים בהצלחה איום זה.

הדוח על פעילות Slingshot זמין ב- Securelist.

אולי יעניין אותך גם

טל חן, שותף במחלקת בנקאות השקעות ומימון תאגידי בDeloitte- ישראל (טל היה בין מובילי הדוח) | קרדיט צילום: אלמוג סוגבקר

Deloitte ישראל: קיטון בהוצאות על מוצרי סייבר יגדיל מיזוגים בענף

גיוסי השקעות בשוויי Down-Round, עשויים לשמש כקטליזטור לרכישות חברות סייבר על ידי חברות בינ"ל