12.3.2018 11:20 | Bezpečnosť

Vírus sa skrýval najmenej šesť rokov. Špehoval používateľov

Ilustračná snímka
Zozbierané údaje sa posielajú štandardnými sieťovými kanálmi (Ilustračná snímka). Zdroj: iStock

Autori museli investovať obrovské množstvo zdrojov. Všetky metódy šírenia zostávajú záhadou.

Vírusoví analytici odhalili malvér, ktorý prenikol do asi stovky počítačov v rôznych štátoch a zostal nespozorovaný najmenej šesť rokov. Podľa mena v niekoľkých skúmaných vzorkách dostal názov Slingshot.

Trójsky kôň vie získať najvyššie oprávnenia v operačnom systéme a vďaka nim mať nad napadnutým počítačom plnú kontrolu. Využíva aj známe zraniteľnosti v ovládačoch.

Prvá zachytená vzorka vznikla v roku 2012 a infiltrácia bola aktívna ešte aj vo februári tohto roka, upozornila firma Kaspersky Lab.

Po dátach ide všade

Cieľom trójskeho koňa sa zdá byť najskôr špionáž. Zaznamenáva aktivitu na pracovnej ploche, obsah kopírovaných dát v schránke, vytvára snímky obrazovky, zachytáva stlačené klávesy, informácie o sieťovej komunikácii, heslá a dáta posielané z USB portov.

„S plným prístupom k jadru operačného systému môže ukradnúť čokoľvek – čísla kreditných kariet, kontrolné súčty hesiel, čísla poistiek,“ popisuje Kaspersky Lab.

Zozbierané údaje sa posielajú štandardnými sieťovými kanálmi. Prenášaný obsah ale maskuje, aby sa nedalo odhaliť, že obsahujú citlivé a kradnuté informácie.

Slingshot infikoval len zhruba 100 počítačov. Pochádzali najmä z afrických štátov a Blízkeho východu. fotogaléria / 4
Slingshot infikoval len zhruba 100 počítačov. Pochádzali najmä z afrických štátov a Blízkeho východu. Zdroj: Kaspersky Lab

Obete pochádzali najmä z Kene a Jemenu. Iné pochádzali aj z Afganistanu, Líbye, Konga, Jordánska, Turecka, Iraku, Sudánu, Somálska a Tanzánie. Väčšinou išlo zrejme o individuálnych používateľov, no našli sa aj vládne orgány a inštitúcie.

Kódy prezrádzajú, že Slingshot vytvorili anglicky hovoriaci programátori. Kaspersky Lab sa domnieva, že pracovali pre niektorý zo štátov.

Sofistikované zavírenie

Vírus nahrádza v operačnom systéme legitímny súbor scesrv.dll infikovanou verziou, avšak s rovnakou veľkosťou. Celkovo ide o veľmi komplexný malvér a jeho tvorcovia do neho zjavne investovali nemalé množstvo prostriedkov a času.

Spôsob šírenia zostáva pri väčšine obetiach neznámy. Expertom sa podarilo zistiť len toľko, že kybernetickí zločinci zrejme mali prístup k routerom značky Mikrotek.

Trójsky kôň Slingshot pri infikovaní počítača nahrádza legitímnu DLL knižnicu zavírenou verziou. Niektoré počítače napadol za pomoci routerov Mikrotek. fotogaléria / 4
Trójsky kôň Slingshot pri infikovaní počítača nahrádza legitímnu DLL knižnicu zavírenou verziou. Niektoré počítače napadol za pomoci routerov Mikrotek. Zdroj: Kaspersky Lab

Keď potom používateľ spustil konfiguračný softvér Winbox Loader, do počítača sa z routeru dostala infikovaná knižnica ipv4.dll, ktorá následne stiahla a otvorila ďalšie škodlivé súbory. Vo všetkých prípadoch experti videli, že sa malvér vždy pripájal na pevnú IP adresu daného routeru.

Druhou alternatívou infikovania je pravdepodobne zraniteľnosť vo Windows. Vo všeobecnosti ale odborníci predpokladajú unikátny spôsob napádania zariadení.

Množstvo funkcií

Jedným zo spôsobov, ako sa hrozba v systéme skrýva, je využívanie vlastného šifrovaného virtuálneho súborového systému, ktorý sa typicky nachádzal na nevyužitých častiach disku.

Ilustračná snímka
Čítajte aj Americká tajná služba sledovala hackerov. Mala viacero motívov

Slingshot zároveň vypína systémový nástroj na defragmentovanie disku, pretože počas upratovania dát by ich mohol chcieť dočasne uložiť do sektorov, kde sa nachádza malvér. Operačný systém totiž tieto miesta považuje za prázdne.

Súčasne sú v rôznych moduloch všetky textové reťazce šifrované, trójsky kôň systémové služby volá priamo a pokiaľ sa spustia forenzné nástroje, vypína jednotlivé komponenty.

Základné komponenty trójskeho koňa Slingshot. Cahnadr sa stará o skrývanie v systéme a GollumApp kradne a zaznamenáva informácie. fotogaléria / 4
Základné komponenty trójskeho koňa Slingshot. Cahnadr sa stará o skrývanie v systéme a GollumApp kradne a zaznamenáva informácie. Zdroj: Kaspersky Lab

Najsofistikovanejším je modul GollumApp. Obsahuje takmer 1 500 funkcií a slúži na zabezpečenie zotrvania v systéme, jeho ovládanie a komunikáciu s riadiacim serverom.

Canhadr alebo NDriver zahŕňajú nízkoúrovňové príkazy pre sieťové či vstupno-výstupné operácie. V režime jadra dokážu spustiť iný škodlivý kód bez kontaktu so súborovým systémom alebo pádu systému (BSoD). Napriek ochranným prvkom umožňuje plný prístup k operačnému disku a pamäti.

Okrem toho vykonáva kontrolu integrity systémových komponentov, aby sa predišlo ladeniu alebo detekcii zo strany antivírusu.

Diskusia 3 Príspevkov