悄悄潛伏不欲人知,感染路由器的惡意程式躲藏 6 年終被發現

作者 | 發布日期 2018 年 03 月 13 日 15:10 | 分類 資訊安全 follow us in feedly

一般來說扣掉有「國家力量」在背後的惡意程式,惡意程式通常來得又急又快,造成的影響很大且目標明確,像是竊取金錢。但最近卡巴斯基實驗室發現的惡意程式,行跡實在太隱密了,花了 6 年時間才被找出來,可說是罕見靜悄悄的惡意程式,很可能是國家在背後資助。




這支惡意程式 Slingshot,被形容是目前發現最先進的攻擊平台,比起先前侵入比利時電信的 Regin,或也被懷疑是國家力量 Sauron,可說毫不遜色。通常只有富有的國家,才有資源開發如此強大的惡意程式。

卡巴斯基的報告指出,Slingshot 由不同組件構成,構成相當有彈性,且是運作良好的網路間諜情報工具。卡巴斯基 25 頁的報告還稱讚 Slingshot 不只以技術角度解決遇到的問題,還用相當精巧的方式,整合新舊不同元件,順利圓滿達成潛伏目的。

Slingshot 在全球感染至少 100 台電腦,研究者仍搞不清礎 Slngshot 最初是怎麼感染這些目標。然而在一些案例中,Slingshot 能進入拉脫維亞製造商 MikroTik 的路由器,之後植入惡意程式碼。Slingshot 藉由取代動態連結函式庫檔案,完成初步的攻擊。

▲ Slingshot 侵入的模式圖。(Source:卡巴斯基)

Slingshot 完成初步的入侵之後,即會與遠端的控制中心連線,這時候 Slingshot 才會下載主要元件。Slingshot 的最大兩個元件是 Cahnadr 和 GollumApp,擔負重要功能。前者能在 kernal 模式執行,避免當機或藍螢幕,後者相當巨大,快要 1,500 行程式碼,提供檔案存取、C&C 通訊等功能。

卡巴斯基實驗室認為 Slingshot 設計的目的是拿來進行特工活動,記錄鍵盤行為和剪貼簿內容。由於 Slingshot 能在 kernal 模式運行,意味電腦的硬體,如硬碟、記憶體都能存取。目前 Slingshot 感染的電腦集中在肯亞和葉門,但在阿富汗、利比亞、剛果等地也有發現。受害者看來是被單獨針對,而非因為特定組織而被鎖定。

▲ 目前發現感染 Slingshot 的地區分佈狀況。(Source:卡巴斯基)

卡巴斯基還發現開發者是用英文撰寫,儘管卡巴斯基並未試圖找出背後的開發者,但看來 Slingshot 是國家力量在背後支援。

(首圖來源:pixabay