Розумних хакерів напасти на Близькому Сході і в Африці через маршрутизатори

Computer Security News

Лабораторія Касперського безпеки експерти попередив групи кібер шпигунства, члени якого атакує користувачів в на Близькому Сході і в Африці за допомогою їх маршрутизатори. На думку дослідників ця група шпигунства брав активну участь з принаймні 2012 і Востаннє атак теракту минулого місяця.

Приблизно 100 рогатки, жертв були виявлені досі, більшість з яких розташована в Кенії і Ємен, проте, були також цілей, зареєстрованих в Афганістані, Конго, Лівії, Туреччина, Йорданія, Судан, Іраку, Танзанії і Сомалі.

Шкідливих програм кампанії зазвичай орієнтована на окремих користувачів, хоча дослідники також помітили атак орієнтації урядових організацій, а також деяких Інтернет-кафе.

Основна частина шкідливих програм, що хакери використовують називається рогатки, і він заснований на внутрішніх струни виявив аналітики у сфері безпеки. Цей шкідливих програм відома зараження комп’ютерів через загрозу маршрутизатори, зокрема ті, які зроблені Mikrotik, Латвія.

На даний момент немає інформації на шляху цільові маршрутизатори отримати скомпрометовані, однак, за словами Касперського експерти WikiLeaks Vault7 файли включають в себе Mikrotik експлуатувати.

Постачальник каже, що вони є латка вразливості позикових експлуатувати Vault7 і не зрозуміло хакери в даний час використання початковий вектор.

Як тільки зловмисники отримають доступ до маршрутизатора, вони можуть зловживати законних частина програмного забезпечення, названий WinBox – це інструмент управління, що забезпечується Mikrotik, який завантажує з неї деякі DLL-файлів маршрутизатора і завантажує їх безпосередньо на ПК.

Зловживаннями з вищезазначених функціональність, рогатки злочинці можуть доставити шкідливі програми цільової маршрутизатор адміністратора.

В принципі, шкідливі програми є завантажувач першого етапу, який замінює законних DLL-файлів в Windows зловмисних версій, які мають точно такий же розмір. Зловмисних DLL завантажується services.exe процесом, який має системи привілеїв.

Основні модулі, завантажені рогатки називаються Cahnadr і GollumApp. Cahnadr, також відомий як Ndriver, є режиму ядра Деструктивна надає всі можливості, необхідний для режиму користувача модулів, включаючи анти налагодження, rootkit функціональність, ін’єкційні модулів в services.exe процес, мережні зв’язки і нюхають можливості для різних протоколів.

GollumApp є основним режимом користувача модуль, створений для управління іншими модулями режиму користувача при постійно взаємодії з Cahnadr. Вона включає в себе широкий спектр шпигунстві орієнтовані функціональність дозволяє хакерам захоплення скріншотів, реєструвати натискання клавіш, збирати дані системи та мережі, урожай паролі, роботи з буфера обміну даними, запускати нові процеси з системи привілеїв і привнести одного зловмисних модулів до зазначеного процесу. Крім того, шкідливі програми дозволяє хакерам отримати повний контроль над зараженого комп’ютера.

Рогатки намагається уникнути виявлення за допомогою різних методів, включаючи заклик системних служб безпосередньо в спробі обійти безпеки продукту гачки, шифруючи рядки у модулі і вибірково ін’єкційного процесів, залежно від того, що продукт безпеки присутня.

Крім того, шкідливі програми працюють деякі складні та досконалі методи, коли справа доходить до командування і управління (C & C) комунікацій – вона приховує його перевезень в законних комунікаційних протоколів, ведення очей поза для пакетів, що містять спеціальні відмітки.

На основі всіх аналізу до цих пір, “Лабораторії Касперського” стверджує, що це спонсоровані державою кібер шпигунства кампанії, і його рівень складності суперники рівня Regin й ProjectSauron загрозою акторів.


Leave a Reply

Your email address will not be published. Required fields are marked *