Imaginen una herramienta diseñada específicamente para tareas de ciberespionaje,
la cual es capaz de acceder a nuestro ordenador usando el router como
puerto de entrada. Y una vez dentro, obtener privilegios del sistema
para tener control de todo lo que sucede dentro de nuestro dispositivo.
Podría sonar como guión de película de espías, pero es real, existe y acaba de ser descubierta.
Lleva por nombre 'Operación Slingshot' y se trata de
uno de los ataques más avanzados de los últimos años, el cual parece
estar dirigido a objetivos muy concretos, personas e instituciones, en
Medio Oriente y África. Un ataque que se cree que lleva operando desde
al menos 2012 y que ha afectado a cerca de 100 víctimas.
Un malware hecho a la medida del que no se sabe quién está detrás
Slingshot fue descubierto después de que un grupo de investigadores
de Kaspersky Lab encontrara un keylogger dentro del ordenador de una
institución gubernamental africana. Ante esto, se creó un seguimiento
del comportamiento de este programa para ver si aparecía en otro lugar,
lo que llevó a encontrarse con un archivo sospechoso dentro de la
carpeta del sistema llamado 'scesrv.dll'.
Después de analizar este archivo, se encontró que cuenta con código
malicioso en su interior capaz de obtener privilegios del sistema a
través de 'services.exe', por lo que se trata de un malware increíblemente avanzado que se ejecuta sobre kernel, llegando así hasta el núcleo del ordenador tomando control de él sin que el usuario siquiera se percate de su existencia.
Slingshot posee una forma de atacar que nunca antes se había visto,
ya que se trata de algo nuevo que no se basa en ningún otro malware que
haya surgido anteriormente. Por ello, se cree que se trata de una herramienta creada a la medida por profesionales,
quienes posiblemente están financiados por algún país, ya que
inicialmente se creyó que se trataba de hacktivismo. Pero al ver lo
sofisticado del ataque, se descartó esta teoría.
Entre lo que se ha ido descubriendo acerca de Slingshot está el hecho de que la infección proviene de routers hackeados,
los cuales están cargados con enlaces dinámicos maliciosos, que de
hecho es un programa de descarga para otros archivos. Cuando el
administrador inicia sesión para configurar el router, se descarga y
ejecuta este código en el ordenador del administrador, infectando así a
toda la red en sólo unos minutos.
Aún se desconoce el método que han utilizado los atacantes para
hackear (crackear) los routers. Una vez que el ordenador está infectado,
dos potentes herramientas como Cahnadr y GollumApp
hacen el trabajo sucio. Ambos módulos están conectados entre sí y son
capaces de recopilar toda la información del dispositivo para después
enviarla a los atacantes.
Slingshot hace capturas de pantallas cada cierto tiempo, obtiene
datos de lo que recibe el teclado, datos de la red y conexiones,
contraseñas, dispositivos conectados vía USB, la actividad del
escritorio, los archivos guardados en portapapeles y mucho más. Y es que
hay que recordar que este malware tiene acceso al Kernel, por lo que tiene acceso a todo.
Potente y discreto
Pero eso no es todo, ya que Slingshot también sabe esconderse. Incluye cifrado en todos sus módulos y cadenas,
se conecta directamente a los servicios del sistema para eludir a los
antivirus y otros programas de seguridad. Usa técnicas anti-depuración y
selecciona los procesos en los que se activará dependiendo de los
niveles de seguridad instalados en el ordenador, para así pasar
completamente desapercibido.
Pero lo más impresionante de todo, es que Slingshot se aprovecha de los datos que obtiene vía Kernel para ocultar su comunicación y enlaces como si fuese un protocolo legitimo,
por lo que nunca levanta sospechas. Esto lo hace interceptando
conexiones reales para posteriormente hacerse pasar por ellas, todo sin
dejar rastros al controlar y ocultar las direcciones IP.
La investigación también mostró que se trata de la versión 6.x, lo
que sugiere que Slingshot ha existido desde hace varios años. Esto
podría explicar su complejidad, lo cual sin duda requirió mucho tiempo
para su desarrollo y sobre todo dinero, ya que es toda una obra de arte.
Por lo anterior, se cree que hay alguien con mucho poder detrás de su
desarrollo, alguien organizado y profesional. Las pistas muestran código en habla inglesa, aunque la atribución exacta es complicada o casi imposible de determinar.
Quiénes son los afectados y cómo bloquear esta amenaza
Los investigadores aseguran que existen hasta febrero de 2018 cerca de 100 afectados por Slingshot,
los cuales están ubicados en Yemen, Kenia, Afganistán, Libia, Congo,
Jordania, Turquía, Irak, Sudán, Somalia y Tanzania. Estos afectados son
principalmente personas especificas relacionadas con el gobierno y sólo
algunas organizaciones, por lo que se cree que está muy bien estudiado
para espiar a ciertos miembros.
Los routers de la marca Mikrotik son los afectados y
para evitar un posible ataque se debe actualizar el firmware a la
última versión cuanto antes. Esta es la única forma de garantizar su
eliminación y protección contra posibles derivados basados en Slingshot
que pudiesen surgir.
Fuente: https://www.xataka.com/
Autor: Raúl Álvarez
@Lohar
0 Comentarios