卡巴斯基实验室(Kaspersky Lab)上周披露一自2012年就开始活动的间谍行动Slingshot,这是一个非常灵活且运行良好的攻击行动,且一直到今年才被发现,迄今已有接近100名受害者,目前看来集中在中东与非洲地区。
根据该实验室的分析,黑客是借由入侵MikroTik路由器再黑进许多受害者计算机,一般而言,路由器会下载与执行各种DDL文件,黑客则在某个合法的DDL文件中嵌入恶意DDL ,该DDL之后会再陆续下载其它存放于路由器上的恶意文件。
Slingshot是在核心模式执行恶意文件,而且会搜索计算机上有漏洞的驱动程序来寄居,使其不被系统更新所影响。它有两个主要程序,一是名为Cahnadr的核心模式模块,能于核心模式中运行,赋予黑客完整的权限,且在执行时不会造成蓝屏,另一个则是GollumApp使用模式模块,内置近1,500种功能。
在上述两个模块的协同运行下,黑客将能搜集受害者的屏幕截屏、键盘输入数据、网络数据、密码、桌面活动、剪贴板或其他用户行为,而且完全没有开采任何的零时差漏洞。
Slingshot真正危险之处在于它运用了许多技俩来躲避侦测,甚至会在发现到系统正进行鉴识研究时关闭恶意组件,还在硬盘中使用了自己的加密文件系统。
研究人员指出,Slingshot行动非常高明,从技术上来看它以非常妥善的方式解决了所有的问题,深思熟虑地结合了各种新、旧组件并着眼于长期运行,应出自资源丰富且能力高强的黑客之手,它既灵活又可靠,还能有效防范侦测,难怪会到6年后才被发现。
MikroTik已在接获通知后修补了该问题,值得注意的是,研究人员相信Slingshot行动应该也利用了其它品牌的路由器。
领取专属 10元无门槛券
私享最新 技术干货