Hacker attacca dei router

Cos'è e come funziona Slingshot

Creato probabilmente da un'agenzia governativa, infetta i computer sfruttando falle nei router. È in grado di rubare ogni tipo di dati e di monitorare tutte le attività fatte al PC
Cos'è e come funziona Slingshot FASTWEB S.p.A.

Con tutta probabilità, si tratta dell'opera di un'agenzia governativa che, nella prima metà di questo decennio, ha messo a punto una suite di spionaggio informatico tra le migliori mai viste sinora. Gli esperti di Kaspersky Lab, che per primi hanno rilevato l'attività criminale, l'hanno addirittura definito un capolavoro del cybercrime, tanto è potente e versatile. Insomma, nonostante sia rimasto per anni nell'ombra, Slingshot è riuscito già a guadagnarsi un posto nell'Olimpo dei malware più pericolosi di sempre.

Stando ai risultati presentati dalla software house russa specializzata in sicurezza informatica, gli esemplari di Slingshot trovati sinora sono contrassegnati come "versione 6.x". Tenendo conto della complessità di questo malware e dei lunghi tempi di sviluppo richiesti, è facile ipotizzare che sia stato realizzato molti anni fa. Secondo Kaspersky la prima versione della suite di strumenti di cyberspionaggio risalirebbe al 2012, ma nulla vieta di ipotizzare che la sua ideazione e realizzazione sia addirittura precedente.

Malware a due teste

Slingshot attacca le vittime sfruttando delle falle nel firmware di particolari router, sostituendo alcuni file di sistema con una loro versione infetta. Una volta che il router è compromesso, gli hacker sono in grado di scaricare il malware vero e proprio all'interno della memoria di tutti i computer connessi alla rete locale.

Slingshot, in particolare, si compone di due moduli: Canhadr e GollumApp. Il primo consente di avere accesso direttamente al kernel del sistema operativo e fornire istruzioni e comandi con privilegi di amministratore; il secondo consente di gestire il file system e altre operazioni necessarie per mantenere in vita il malware stesso ed evitare che venga rilevato da sistemi di sicurezza informatica. La combinazione di questi due moduli rende Slingshot indistruttibile, o quasi: operando a livello di kernel, il malware per il cyberspionaggio passa di fatto inosservato agli occhi di antivirus e antimalware, mentre sfrutta la crittografia per evitare che le sue componenti possano essere rilevate.

A questo si unisce una modalità operativa quanto meno singolare. Solitamente, malware di questo genere sono gestiti tramite indirizzi di comando e controllo (C&C) predefiniti e "fissi". Un elemento, quest'ultimo, sfruttato da diversi strumenti di analisi forense e cybersecurity per rilevare attività anomale e malevole. Per evitare che ciò potesse accadere, i creatori di Slingshot non hanno creato un indirizzo C&C univoco, ma un indirizzo dinamico che può essere ricavato dall'analisi dei pacchetti dati che transitano dal router. Una volta individuato, Slingshot crea una connessione crittografata (una sorta di VPN), dando così il via al monitoraggio dell'attività delle macchine infette.

 

La mappa con le nazioni colpite da Slingshot

A cosa serve Slingshot

Viste le sue caratteristiche e le sue modalità operative, Slingshot è tra i miglior strumenti di cyberspionaggio che siano mai stati creati (o, quanto meno, scoperti) sinora. Una volta che infetta un computer, il malware può essere utilizzato per monitorare l'attività online, catturare screenshot, registrare i tasti premuti sulla tastiera, connessioni USB, altre attività del desktop, dati degli appunti e molto altro. Grazie all'accesso al kernel e i privilegi da amministratore, infatti, Slingshot può monitorare qualsiasi attività dell'utente e trafugare ogni tipo di dati.

Dove ha colpito Slingshot

Da una prima e parziale analisi, Slingshot sembra aver colpito principalmente utenti africani e mediorientali. I ricercatori di Kaspersky, infatti, hanno trovato computer infetti in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. La gran parte delle vittime (un centinaio in totale, ma l'analisi potrebbe essere parziale) sono normali internauti, anche se nell'elenco sono incluse anche alcune imprese e organizzazioni governative.

12 marzo 2018

copyright CULTUR-E
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail