مسیریاب‏‌های میکروتیک تحت تأثیر جاسوس‌‏افزار Slingshot

محققان امنیتی در کسپرسکی یک گروه هکر APT را شناسایی کرده‌‏اند که از سال ۲۰۱۲ فعالیت می‏‌کنند، و به خاطر استفاده از تکنیک‏‌های هوشمندانه و پیچیده تا کنون شناخته نشده‏‌اند.

این گروه هک از از یک بدافزار پیشرفته_ به نام dubbed Slingshot_ استفاده کرده‌‏اند که از طریق هک روترها، صدها هزار قربانی را در آفریقا و خاورمیانه آلوده نموده است.

بر اساس یک گزارش ۲۵ صفحه‎ای منتشر شده توسط کسپرسکی، این گروه آسیب‏‌پذیری‏‌های ناشناخته در روترهای میکروتیک را اکسپلویت نموده تا به طور مخفیانه جاسوس‌‏افزارهای خود را به کامپیوترهای قربانی بفرستند.

اگرچه هنوز مشخص نیست این گروه چگونه به روترها آسیب می‏‌زند، اما کسپرسکی به WikiLeaks Vault 7 CIA Leaks که اکسپلویت ChimayRed را فاش نمود اشاره کرده است، که در حال حاضر نیز برای تسخیر روترهای میکروتیک بر روی گیت‏‌هاب در دسترس است.

هنگامی که روترها تسخیر شدند، مهاجمان یکی از فایل‌‏های DDL آن را با یک فایل مخرب جایگزین می‏‌کنند، و به این ترتیب زمانی که کاربر نرم‌‏افزار Winbox Loader را اجرا می‏‌کند به طور مستقیم در حافظه‌‏ی کامپیوتر قربانی بارگذاری می‌‏شود.

Winbox Loader یک ابزار مدیریت قانونی است که توسط میکروتیک برای کاربران ویندوز طراحی شده است تا به راحتی بتوانند روترهای خود را که برخی از فایل‏‌های DDL را از روتر دانلود کرده و آن‏‌ها را بر روی یک سیستم اجرا می‏‌کنند پیکربندی نمایند.

با این روش، فایل DDL مخرب بر روی کامپیوتر هدف اجرا شده و برای دانلود payload نهایی (یعنی بدافزارSlingshot) به یک سرور راه دور متصل می‏‌گردد.

بدافزار Slingshot شامل دو ماژول است:

Cahnadr (یک ماژول مد کرنل) و GollumApp (یک ماژول مد کاربر) است که برای جمع‌‏آوری اطلاعات، ثبات و استخراج داده طراحی شده‌‏اند.

ماژول Cahnadr، (همانطور که می‏‌دانید مانند NDriver)، قابلیت‏‌های ضد دیباگینگ، روت‏‌کیت، شنود، تزریق سایر ماژول‎ها، ارتباطات شبکه و اساساً هر آنچه توسط ماژول‏‌های مد کاربر مورد نیاز است را دارا می‏‌باشد. کسپرسکی در یک پست وبلاگ منتشر شده می‏‌گوید: " Cahnadr یک برنامه مد کرنل است که که قادر به اجرای کدهای مخرب بدون فروپاشی کل فایل‎سیستم یا نمایش صفحه آبی می‌‏باشد." همچنین می‏‌گوید: " Canhadr/Ndriver به زبان C نوشته شده است، و با وجود محدودیت‏‌های امنیتی دستگاه، دسترسی کامل به هارددیسک و حافظه را فراهم نموده و کنترل اجزای مختلف سیستم را به منظور جلوگیری از دیباگینگ و تشخیص‌‏های امنیتی به دست می‌‏گیرد."

اما ماژول GollumApp یک ماژول بسیار پیچیده است که دارای طیف گسترده‌‏ای از قابلیت‌‏های جاسوسی می‌‏باشد و به مهاجمان امکان گرفتن اسکرین‏‌شات، جمع‌‏آوری اطلاعات مرتبط با شبکه، پسوردهای ذخیره شده در مرورگر، کلیدهای فشرده شده و برقرار کردن ارتباطات با سرورهای کنترل و فرمان راه دور را می‌دهد.

از آنجا که GollumApp در مد کرنل اجرا می‌‏شود، و با داشتن حق دسترسی SYSTEM می‏‌تواند پردازش‏‌های جدید اجرا کند، بنابراین این بدافزار می‌‏تواند کنترل کامل سیستم‌‏های آلوده را به مهاجم بدهد.

اگرچه کسپرسکی این گروه را به هیچ کشوری نسبت نداده است، اما بر اساس تکنیک‏‌های هوشمندانه‏‌ای که مورد استفاده قرار گرفته و با توجه به اهداف محدودش، به نظر می‌‏رسد که این یک گروه هک بسیار حرفه‌‏ای و انگلیسی زبان است.

محققان اذعان داشتند: " Slingshot بسیار پیچیده است، و توسعه‌‏دهندگان حامی آن، وقت و هزینه را صرف ایجاد آن کرده‌‏اند. سیر آلودگی آن قابل توجه بوده و تا آنجا که ما می‌‏دانیم منحصر به فرد است."

قربانیان این گروه اغلب اشخاص و سازمان‌های دولتی از کشورهای مختلف شامل کنیا، یمن، لیبی، افغانستان، عراق، تانزانیا، اردن، موریس، سومالی، جمهوری دموکراتیک کنگو، ترکیه، سودان و امارات می‌باشند.

منبع: https://thehackernews.com/2018/03/slingshot-router-hacking.html