悄悄潜伏不欲人知,感染路由器的恶意程序躲藏 6 年终被发现

作者 | 发布日期 2018 年 03 月 13 日 15:50 | 分类 资讯安全
computer-159828_1280-624x564

【Technews科技新报】一般来说扣掉有“国家力量”在背后的恶意程序,恶意程序通常来得又急又快,造成的影响很大且目标明确,像是窃取金钱。但最近卡巴斯基实验室发现的恶意程序,行迹实在太隐密了,花了 6 年时间才被找出来,可说是罕见静悄悄的恶意程序,很可能是国家在背后资助。




这支恶意程序 Slingshot,被形容是目前发现最先进的攻击平台,比起先前侵入比利时电信的 Regin,或也被怀疑是国家力量 Sauron,可说毫不逊色。通常只有富有的国家,才有资源开发如此强大的恶意程序。

卡巴斯基的报告指出,Slingshot 由不同组件构成,构成相当有弹性,且是运作良好的网络间谍情报工具。卡巴斯基 25 页的报告还称赞 Slingshot 不只以技术角度解决遇到的问题,还用相当精巧的方式,整合新旧不同元件,顺利圆满达成潜伏目的。

Slingshot 在全球感染至少 100 台电脑,研究者仍搞不清础 Slngshot 最初是怎么感染这些目标。然而在一些案例中,Slingshot 能进入拉脱维亚制造商 MikroTik 的路由器,之后植入恶意程序码。Slingshot 借由取代动态连结函式库档案,完成初步的攻击。


▲ Slingshot 侵入的模式图。(Source:卡巴斯基)

Slingshot 完成初步的入侵之后,即会与远端的控制中心连线,这时候 Slingshot 才会下载主要元件。Slingshot 的最大两个元件是 Cahnadr 和 GollumApp,担负重要功能。前者能在 kernal 模式执行,避免当机或蓝屏幕,后者相当巨大,快要 1,500 行程序代码,提供档案存取、C&C 通讯等功能。

卡巴斯基实验室认为 Slingshot 设计的目的是拿来进行特工活动,记录键盘行为和剪贴簿内容。由于 Slingshot 能在 kernal 模式运行,意味电脑的硬件,如硬盘、存储器都能存取。目前 Slingshot 感染的电脑集中在肯亚和也门,但在阿富汗、利比亚、刚果等地也有发现。受害者看来是被单独针对,而非因为特定组织而被锁定。


▲ 目前发现感染 Slingshot 的地区分布状况。(Source:卡巴斯基)

卡巴斯基还发现开发者是用英文撰写,尽管卡巴斯基并未试图找出背后的开发者,但看来 Slingshot 是国家力量在背后支持。

(首图来源:pixabay

如需获取更多资讯,请关注微信公众账号:Technews科技新报

陈 瑞霖

Technews 副主编,关心开放的议题,如开放内容平台维基百科、开放街图,与软件相关的开放源代码,与学术相关的开放近用,以及最近火红的开放资料。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。

直接使用新浪微博发表评论

 

发表评论