Engadget
Sofisticados ataques de malware a través de enrutadores
Por Jon Fingas, para Engadget Marzo 11 de 2018
Los investigadores de seguridad de Kaspersky Lab descubrieron lo que probablemente sea otra cepa de malware patrocinada por el estado, y esta es más avanzada que la mayoría. Apodado Slingshot, el código espía en las PC a través de un ataque de múltiples capas que apunta a los enrutadores MikroTik. Primero reemplaza un archivo de biblioteca con una versión maliciosa que descarga otros componentes maliciosos, y luego lanza un astuto ataque de dos puntas en las computadoras mismas. Uno, Canhadr, ejecuta un código kernel de bajo nivel que da rienda suelta al intruso, incluido un acceso profundo al almacenamiento y la memoria; el otro, GollumApp, se enfoca en el nivel de usuario e incluye código para coordinar esfuerzos, administrar el sistema de archivos y mantener el malware activo.
Kaspersky describe estos dos elementos como "obras maestras", y por buenas razones. Por un lado, no es tarea fácil ejecutar código host kernel sin bloqueos. Slingshot también almacena sus archivos de malware en un sistema de archivos virtual encriptado, encripta cada cadena de texto en sus módulos, llama directamente a los servicios (para evitar tropezar con las comprobaciones del software de seguridad) e incluso cierra los componentes cuando las herramientas forenses están activas. Si hay un método común para detectar malware o identificar su comportamiento, Slingshot probablemente tenga una defensa contra él. No es de extrañar que el código haya estado activo desde al menos 2012, nadie sabía que estaba allí.
El malware puede robar de manera efectiva lo que quiera, incluidos golpes de teclado, tráfico de red, contraseñas y capturas de pantalla. No es seguro cómo Slingshot ingresa en un sistema además de aprovechar el software de administración de enrutadores, pero Kaspersky señaló varias "instancias"
La combinación de esta sofisticación con el enfoque de espionaje llevó a Kaspersky a creer que es probable que sea la creación de una agencia estatal: rivaliza con el malware Regin GCHQ utilizado para espiar al operador belga Belgacom. Y aunque las pistas de texto sugieren que los hablantes de inglés podrían ser responsables, el culpable no está claro. Con apenas 100 individuos, los equipos gubernamentales y las instituciones cayeron presas de Slingshot en países como Afganistán, Iraq, Jordania, Kenia, Libia y Turquía. Podría ser uno de los países de los Cinco Ojos (Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU.) Vigilando a las naciones con importantes problemas de terrorismo, pero eso está lejos de ser cierto.
Slingshot debería ser reparado a partir de las últimas actualizaciones de firmware del enrutador MikroTik. La preocupación, como es de suponer, es que otros enrutadores pueden verse afectados. Si lo son, existe la posibilidad de que Slingshot tenga un alcance mucho más amplio y aún esté tomando datos confidenciales.
Kaspersky Lab, SecureList
Este artículo apareció originalmente en Engadget.
With a tiny help from Google Translate for Business
Sofisticados ataques de malware a través de enrutadores
Por Jon Fingas, para Engadget Marzo 11 de 2018
Los investigadores de seguridad de Kaspersky Lab descubrieron lo que probablemente sea otra cepa de malware patrocinada por el estado, y esta es más avanzada que la mayoría. Apodado Slingshot, el código espía en las PC a través de un ataque de múltiples capas que apunta a los enrutadores MikroTik. Primero reemplaza un archivo de biblioteca con una versión maliciosa que descarga otros componentes maliciosos, y luego lanza un astuto ataque de dos puntas en las computadoras mismas. Uno, Canhadr, ejecuta un código kernel de bajo nivel que da rienda suelta al intruso, incluido un acceso profundo al almacenamiento y la memoria; el otro, GollumApp, se enfoca en el nivel de usuario e incluye código para coordinar esfuerzos, administrar el sistema de archivos y mantener el malware activo.
Kaspersky describe estos dos elementos como "obras maestras", y por buenas razones. Por un lado, no es tarea fácil ejecutar código host kernel sin bloqueos. Slingshot también almacena sus archivos de malware en un sistema de archivos virtual encriptado, encripta cada cadena de texto en sus módulos, llama directamente a los servicios (para evitar tropezar con las comprobaciones del software de seguridad) e incluso cierra los componentes cuando las herramientas forenses están activas. Si hay un método común para detectar malware o identificar su comportamiento, Slingshot probablemente tenga una defensa contra él. No es de extrañar que el código haya estado activo desde al menos 2012, nadie sabía que estaba allí.
El malware puede robar de manera efectiva lo que quiera, incluidos golpes de teclado, tráfico de red, contraseñas y capturas de pantalla. No es seguro cómo Slingshot ingresa en un sistema además de aprovechar el software de administración de enrutadores, pero Kaspersky señaló varias "instancias"
La combinación de esta sofisticación con el enfoque de espionaje llevó a Kaspersky a creer que es probable que sea la creación de una agencia estatal: rivaliza con el malware Regin GCHQ utilizado para espiar al operador belga Belgacom. Y aunque las pistas de texto sugieren que los hablantes de inglés podrían ser responsables, el culpable no está claro. Con apenas 100 individuos, los equipos gubernamentales y las instituciones cayeron presas de Slingshot en países como Afganistán, Iraq, Jordania, Kenia, Libia y Turquía. Podría ser uno de los países de los Cinco Ojos (Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU.) Vigilando a las naciones con importantes problemas de terrorismo, pero eso está lejos de ser cierto.
Slingshot debería ser reparado a partir de las últimas actualizaciones de firmware del enrutador MikroTik. La preocupación, como es de suponer, es que otros enrutadores pueden verse afectados. Si lo son, existe la posibilidad de que Slingshot tenga un alcance mucho más amplio y aún esté tomando datos confidenciales.
Kaspersky Lab, SecureList
Este artículo apareció originalmente en Engadget.
With a tiny help from Google Translate for Business