Intelligent hackerattacker, Mellanöstern och Afrika via routrar

Computer Security News

Kaspersky Lab säkerhetsexperter larmade en cyber spionage grupp vars medlemmar har attackerat användare i Mellanöstern och Afrika via sina routrar. Enligt forskarna spionage gruppen har varit aktiv sedan minst 2012 och dess senaste attackerna sågs förra månaden.

Cirka 100 slangbella offer har identifierat hittills, de flesta av dem ligger i Kenya och Jemen, dock fanns det också mål registrerade i Afghanistan, Kongo, Libyen, Turkiet, Jordanien, Sudan, Irak, Tanzania och Somalia.

Malware kampanjen är generellt inriktad på enskilda användare, även om forskarna har också upptäckt angrepp som riktas mot statliga organisationer samt några internetkaféer.

De viktigaste pjäs av sabotageprogram som hackare använder kallas slangbella, och den är baserad på interna strängar upptäcktes av analytiker säkerhet. Detta malware är känd för infekterar datorer via komprometterad routrar, särskilt de gjorde av Mikrotik, Lettland.

För närvarande finns ingen information på sättet de rikta routrarna får äventyras, dock enligt Kaspersky experter den WikiLeaks Vault7 filer omfattar en Mikrotik utnyttja.

Leverantören säger att de har lappat sårbarheten utnyttjas av Vault7 utnyttja och det är inte klart om hackare använder den ursprungliga vektorn.

Så snart angriparna få tillgång till en router, de kan missbruka en legitim bit av programvara som heter WinBox – detta är ett verktyg som tillhandahålls av Mikrotik som laddar ned vissa DLL-filer från routern och läser in dem direkt i datorns minne.

Genom att missbruka de ovannämnda funktionerna, kan slangbella brottslingarna leverera malware till riktade routerns administratör.

Malware är egentligen en första etappen lastare som ersätter legitim DLL-filer i Windows med skadliga versioner som har exakt samma storlek. De skadliga DLL-filerna läses av services.exe processen, som har systemprivilegier.

De huvudsakliga moduler som hämtas av slangbella kallas Cahnadr och GollumApp. Cahnadr, även känd som Ndriver, är en kernel-läge nyttolast som tillhandahåller alla funktioner som krävs av användarläge moduler, inklusive anti-felsökning, rootkit funktionalitet, injicera moduler i services.exe processen, nätverkskommunikation, och sniffa kapacitet för olika protokoll.

GollumApp är den huvudsakliga användarläge modul för att hantera andra användarläge moduler samtidigt som ständigt interagerar med Cahnadr. Den innehåller ett brett utbud av spioneri-fokuserade funktionalitet tillåter hackare att fånga skärmdumpar, logga tangenttryckningar, samla data system och nätverk, skörda lösenord, manipulera data i Urklipp, kör nya processer med systembehörighet och injicera andra skadliga moduler till en angiven process. Dessutom låter malware hackare få full kontroll över den infektera datorn.

Slangbella försöker undgå upptäckt med hjälp av olika metoder, inklusive anropar systemtjänster direkt i ett försök att kringgå säkerheten produkt krokar, kryptera strängar i dess moduler och selektivt injicera processer beroende på vilken säkerhetsprodukt är närvarande.

Förutom, malware sysselsätter några sofistikerade tekniker när det gäller kommando och kontroll (C & C) kommunikation – det döljer sin trafik i legitima kommunikationsprotokoll, hålla ett öga för paket som innehåller ett särskilt märke.

Kaspersky Lab baserat på alla analysen hittills, och hävdar att detta är en statsunderstödd cyber spionage kampanj, och dess grad av sofistikering rivaler nivån på Regin och ProjectSauron hot aktörer.


Leave a Reply

Your email address will not be published. Required fields are marked *