Fastweb

Cos'è e come funziona Slingshot

Hacker in azione Web & Digital #hacker #password Come proteggere la propria identità online: i consigli per il 2020 Dietro il nostro nome utente e la nostra password si nascondono, spesso e volentieri, alcuni dei beni più preziosi. Ecco come proteggerli
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Cos'è e come funziona Slingshot FASTWEB S.p.A.
Hacker attacca dei router
Internet
Creato probabilmente da un'agenzia governativa, infetta i computer sfruttando falle nei router. È in grado di rubare ogni tipo di dati e di monitorare tutte le attività fatte al PC

Con tutta probabilità, si tratta dell'opera di un'agenzia governativa che, nella prima metà di questo decennio, ha messo a punto una suite di spionaggio informatico tra le migliori mai viste sinora. Gli esperti di Kaspersky Lab, che per primi hanno rilevato l'attività criminale, l'hanno addirittura definito un capolavoro del cybercrime, tanto è potente e versatile. Insomma, nonostante sia rimasto per anni nell'ombra, Slingshot è riuscito già a guadagnarsi un posto nell'Olimpo dei malware più pericolosi di sempre.

Stando ai risultati presentati dalla software house russa specializzata in sicurezza informatica, gli esemplari di Slingshot trovati sinora sono contrassegnati come "versione 6.x". Tenendo conto della complessità di questo malware e dei lunghi tempi di sviluppo richiesti, è facile ipotizzare che sia stato realizzato molti anni fa. Secondo Kaspersky la prima versione della suite di strumenti di cyberspionaggio risalirebbe al 2012, ma nulla vieta di ipotizzare che la sua ideazione e realizzazione sia addirittura precedente.

Malware a due teste

Slingshot attacca le vittime sfruttando delle falle nel firmware di particolari router, sostituendo alcuni file di sistema con una loro versione infetta. Una volta che il router è compromesso, gli hacker sono in grado di scaricare il malware vero e proprio all'interno della memoria di tutti i computer connessi alla rete locale.

Slingshot, in particolare, si compone di due moduli: Canhadr e GollumApp. Il primo consente di avere accesso direttamente al kernel del sistema operativo e fornire istruzioni e comandi con privilegi di amministratore; il secondo consente di gestire il file system e altre operazioni necessarie per mantenere in vita il malware stesso ed evitare che venga rilevato da sistemi di sicurezza informatica. La combinazione di questi due moduli rende Slingshot indistruttibile, o quasi: operando a livello di kernel, il malware per il cyberspionaggio passa di fatto inosservato agli occhi di antivirus e antimalware, mentre sfrutta la crittografia per evitare che le sue componenti possano essere rilevate.

A questo si unisce una modalità operativa quanto meno singolare. Solitamente, malware di questo genere sono gestiti tramite indirizzi di comando e controllo (C&C) predefiniti e "fissi". Un elemento, quest'ultimo, sfruttato da diversi strumenti di analisi forense e cybersecurity per rilevare attività anomale e malevole. Per evitare che ciò potesse accadere, i creatori di Slingshot non hanno creato un indirizzo C&C univoco, ma un indirizzo dinamico che può essere ricavato dall'analisi dei pacchetti dati che transitano dal router. Una volta individuato, Slingshot crea una connessione crittografata (una sorta di VPN), dando così il via al monitoraggio dell'attività delle macchine infette.

 

La mappa con le nazioni colpite da Slingshot

A cosa serve Slingshot

Viste le sue caratteristiche e le sue modalità operative, Slingshot è tra i miglior strumenti di cyberspionaggio che siano mai stati creati (o, quanto meno, scoperti) sinora. Una volta che infetta un computer, il malware può essere utilizzato per monitorare l'attività online, catturare screenshot, registrare i tasti premuti sulla tastiera, connessioni USB, altre attività del desktop, dati degli appunti e molto altro. Grazie all'accesso al kernel e i privilegi da amministratore, infatti, Slingshot può monitorare qualsiasi attività dell'utente e trafugare ogni tipo di dati.

Dove ha colpito Slingshot

Da una prima e parziale analisi, Slingshot sembra aver colpito principalmente utenti africani e mediorientali. I ricercatori di Kaspersky, infatti, hanno trovato computer infetti in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. La gran parte delle vittime (un centinaio in totale, ma l'analisi potrebbe essere parziale) sono normali internauti, anche se nell'elenco sono incluse anche alcune imprese e organizzazioni governative.

12 marzo 2018

copyright CULTUR-E

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #sicurezza informatica #router #malware #hacker

© Fastweb SpA 2020 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.