info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

مسیریاب‌های میکروتیک تحت تاثیر جاسوس‌افزار Slingshot

خلاصه: محققان امنیتی کسپراسکی یک گروه هکری APT را شناسایی کردند که از سال ۲۰۱۲ فعالیت می‌کند. این گروه هکری از یک بدافزار پیشرفته به‌نام Slingshot برای آلوده کردن صدها هزار قربانی و هک مسیریاب‌هایی در خاورمیانه و آفریقا استفاده می‌کند. این بدافزار به مهاجمان امکان گرفتن اسکرین‌شات، جمع‌آوری اطلاعات مبتنی بر شبکه، پسوردهای ذخیره شده در مرورگر، کلیدهای فشرده شده و برقرار کردن ارتباطات با سرورهای کنترل و فرمان راه دور را می‌دهد.

 

محققان امنیتی کسپراسکی یک گروه هکری APT را شناسایی کردند که از سال ۲۰۱۲ فعالیت می‌کند، دلیل عدم شناسایی آن‌ها تا این زمان استفاده از تکنیک‌های هک هوشمند و پیچیده بوده است.

این گروه هکری از یک بدافزار پیشرفته به‌نام Slingshot برای آلوده کردن صدها هزار قربانی و هک مسیریاب‌هایی در خاورمیانه و آفریقا استفاده می‌کند.

براساس گزارش کسپراسکی این گروه، از آسیب‌پذیری‌هایی ناشناخته در مسیریاب‌هایی از یک ارائه‌دهنده‌ی سخت‌افزار شبکه‌ی میکروتیک لتونی به‌عنوان گام اول بردار آلودگی استفاده می‌کند، و هدف نهایی آن‌ها استقرار مخفیانه‌ی جاسوس‌افزارشان بر روی کامپیوتر‌های قربانیان می‌باشد.

اگرچه هنوز مشخص نیست که این گروه چگونه به مسیریاب‌ها آسیب‌می‌زند، اما کسپراسکی به مجموعه‌ی منتشر شده توسط ویکی‌لیکس تحت عنوان Vault 7 اشاره کرده است، که اکسپلویت ChamayRed را افشا کرد. (که هم‌اکنون نیز برای در دست گرفتن مسیریاب‌های میکروتیک بر روی گیت‌هاب در دسترس است.)

هنگامی که مسیریاب‌ها به‌دست هکرها بیفتند، آنها یکی از فایل‌های DLL آن را با یک فایل مخرب جایگزین می‌کنند، این فایل زمانی که کاربر نرم‌افزار Winbox Loader  را اجرا می‌کند، مستقیما در حافظه‌ی کامپیوتر قربانی بارگذاری می‌شود.

Winbox Loader یک ابزار مدیریت قانونی است که توسط میکروتیک برای کاربران ویندوز طراحی شده است، تا آن‌ها بتوانند به‌راحتی مسیریاب‌هایشان را پیکربندی کنند. این نرم‌افزار تعدادی از فایل‌های DLL را از مسیریاب دانلود کرده و بر روی سیستم اجرا می‌کنند.

با این روش فایل DLL مخرب بر روس سیستم هدف اجرا شده و به یک سرور راه دور متصل می‌شود تا پیلود نهایی را دانلود کند، پیلود نهایی همان بدافزار Slingshot است.

بدافزار Slingshot شامل دو ماژول است، Cahnadr (یک ماژول مد کرنل) و GollumApp (یک ماژول مد کاربر)، که برای جمع‌آوری اطلاعات، ثبات و استخراج داده طراحی شده‌اند.

GollumApp یک ماژول بسیار پیچیده است که طیف وسیعی از قابلیت‌های جاسوسی را در بردارد که به مهاجمان امکان گرفتن اسکرین‌شات، جمع‌آوری اطلاعات مبتنی بر شبکه، پسوردهای ذخیره شده در مرورگر، کلیدهای فشرده شده و برقرار کردن ارتباطات با سرورهای کنترل و فرمان راه دور را می‌دهد.

اگرچه کسپراسکی این گروه را به هیچ کشوری نسبت نداده است اما براساس تکنیک‌های هوشمندانه‌ی استفاده شده و اهدف محدودش، به‌نظر می‌رسد که این مورد یک گروه هک بسیار حرفه‌ای و انگلیسی زبان است.

قربانیان این گروه اغلب اشخاص و سازمان‌های دولتی از کشورهای مختلف شامل کنیا، یمن، لیبی، افغانستان، عراق، تانزانیا، اردن، موریس، سومالی، جمهوری دموکراتیک کنگو، ترکیه، سودان و امارات می‌باشند.