Spionageaanval via gehackte MikroTik-routers ontdekt

[Captain Kirk]

Anti-virusbedrijf Kaspersky Lab heeft een spionageaanval via gehackte MikroTik-routers ontdekt die vooral in Afrika en het Midden-Oosten slachtoffers heeft gemaakt. Volgens de virusbestrijder gaat het om een aanval die qua complexiteit vergelijkbaar is met twee eerder ontdekte spionageaanvallen die bekendstaan als Regin en Sauron.

Slingshot, zoals de groep achter de aanval wordt genoemd, maakt gebruik van gecompromitteerde MikroTik-routers om slachtoffers te infecteren. MikroTik biedt klanten een programma genaamd WinBox om routers te beheren. Dit programma, dat op de router staat, downloadt een aantal dll-bestanden van het bestandssysteem van de router en laadt ze direct in het geheugen van de computer.

Om beheerders van MikroTik-routers te infecteren hebben de aanvallers een kwaadaardige versie van het dll-bestand genaamd ipv4.dll op de gecompromitteerde routers geplaatst. Na te zijn toegevoegd wordt dit dll-bestand door WinBox gedownload en uitgevoerd. Volgens de onderzoekers is dit dll-bestand een Trojan-downloader die aanvullende malware op het systeem installeert. Hoe de aanvallers het voor elkaar hebben gekregen om de MikroTik-routers te hacken en van het malafide dll-bestand te voorzien is onbekend.

Wat de onderzoekers wel weten is dat het dll-bestand verschillende modules downloadt, waaronder een kernel-module en een user-mode-module. Deze modules zijn ontwikkeld om gegevens te verzamelen en te stelen en het systeem gecompromitteerd te houden. Om code in kernel-mode te kunnen draaien laadt Slingshot gesigneerde kwetsbare drivers. Via de kwetsbaarheden in deze drivers voert de malware zijn eigen code uit. Doordat de code met kernel-rechten wordt uitgevoerd heeft die volledige controle over het systeem en kan zich onder andere voor anti-virussoftware verbergen.

Cyberspionage

Het doel van Slingshot is cyberspionage. Uit het onderzoek blijkt dat de malware screenshots, keyboarddata, netwerkgegevens, wachtwoorden, usb-verbindingen, desktopactiviteit, de inhoud van het clipboard en andere gegevens verzamelt en naar de aanvallers terugstuurt. Opmerkelijk aan de malware is dat die de software voor het defragmenteren van de harde schijf uitschakelt. Slingshot maakt gebruik van een eigen versleuteld bestandssysteem dat zich in een ongebruikt deel van de harde schijf kan bevinden. Bij het defragmenteren van de harde schijf kan data naar dit deel worden geschreven, wat het virtuele bestandssysteem kan beschadigen.

Volgens Kaspersky Lab is Slingshot al sinds 2012 actief en nog steeds operationeel. Het anti-virusbedrijf heeft zo'n 100 slachtoffers waargenomen in Kenia, Yemen, Afghanistan, Libië, Congo, Jordanië, Turkije, Irak, Soedan, Somalië en Tanzania. De meeste slachtoffers zijn individuen in plaats van organisaties, maar ook verschillende overheidsorganisaties en -instellingen zijn door de malware getroffen. In Kenia en Yemen werden de meeste slachtoffers waargenomen. MikroTik heeft in een reactie aan Kaspersky Lab laten weten dat de laatste versie van WinBox het bestand ipv4.dll niet meer op de computer downloadt, waarmee deze aanvalsvector is gesloten. In dit rapport (pdf) geeft Kaspersky Lab informatie en hashes van bestanden en domeinen waar de malware gebruik van maakt.

 

 

bron: security.nl