Tin tặc tấn công chủ đích lây nhiễm mã độc Slingshot qua các router
Nhóm tin tặc này sử dụng mã độc Slingshot để lây nhiễm cho hàng trăm nghìn nạn nhân tại Trung Đông và châu Phi bằng cách khai thác một lỗ hổng trong các router từ nhà cung cấp phần cứng mạng Mikrotik (Lavia, Phần Lan), bước đầu là bí mật phát tán phần mềm gián điệp qua máy tính nạn nhân.
Khi router bị xâm chiếm, kẻ tấn công sẽ thay một file trong thư viện liên kết động (Dynamic Link Library - DDL) bằng một mã độc từ file trên hệ thống, tải trực tiếp vào bộ nhớ máy tính của nạn nhân khi người dùng chạy phần mềm Winbox Loader.
Winbox Loader là một công cụ quản lý hợp pháp do Mikrotik thiết kế cho người dùng Windows dễ dàng cấu hình các router của họ để tải các file DLL từ router và thực thi chúng trên hệ thống.
Bằng cách này, mã độc có trong file DLL sẽ chạy trên máy tính mục tiêu, kết nối đến một máy chủ từ xa để tải về payload.
Mã độc Slingshot bao gồm 2 môđun là: Cahnadr (chế độ nhân) và GollumApp (chế độ người dùng), được thiết kế để thu thập, lưu thông tin và lọc dữ liệu.
Cahnadr hay aka NDriver phụ trách chống sửa lỗi (debug), ẩn giấu mã độc và chức năng phòng chống các kiểu tấn công (sniffing), lây nhiễm các môđun khác, giao tiếp mạng được yêu cầu theo chế độ người dùng.
Trong khi đó, GollumApp là môđun có chức năng thực hiện hành vi gián điệp trong phạm vi rộng, cho phép kẻ tấn công chụp ảnh màn hình, thu thập các thông tin liên quan trong mạng, mật khẩu được lưu trữ trên trình duyệt web, duy trì giao tiếp với các máy chủ C&C từ xa.
Khi GollumApp chạy chế độ nhân và có thể chạy các tiến trình mới với đặc quyền SYSTEM, mã độc sẽ trao toàn quyền kiểm soát của hệ thống bị lây nhiễm cho tin tặc.
Mặc dù các nhà nghiên cứu Kaspersky không cho biết nguồn gốc nhóm tin tặc này nhưng dựa trên các kỹ thuật thông minh mà họ sử dụng và các mục tiêu thì công ty an ninh đã kết luận rằng, đây chắc chắn là tin tặc do nhà nước bảo trợ, nói tiếng Anh có kỹ năng cao.
Nạn nhân phần lớn là các cá nhân và tổ chức chính phủ của nhiều quốc gia khác nhau như: Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hoà Congo, Thổ Nhĩ Kỹ, Sudan và các Tiểu vương quốc ả Rập thống nhất (United Arab Emirates – UAE).
Hồng Loan
Theo The Hacker News