Антивирусная компания «Лаборатория Касперского» обнаружила шпионскую атаку через взломанные маршрутизаторы MikroTik, которые стали жертвами главным образом в Африке и на Ближнем Востоке. По словам вируса-истребителя, это атака, сопоставимая по сложности с двумя ранее обнаруженными шпионскими атаками, известными как Regin и Sauron.

Slingshot, как называется группа, стоящая за атакой, использует скомпрометированные маршрутизаторы MikroTik для заражения жертв. MikroTik предлагает клиентам программу под названием WinBox для управления маршрутизаторами. Программа, которая находится на маршрутизаторе, загружает несколько файлов DLL из файловой системы маршрутизатора и загружает их непосредственно в память компьютера.

Чтобы заразить администраторов маршрутизаторов MikroTik, злоумышленники разместили вредоносную версию файла dll с именем ipv4.dll на уязвимых маршрутизаторах. После добавления этот DLL-файл загружается и выполняется WinBox. По мнению исследователей, эта DLL - это троянский загрузчик, который устанавливает дополнительные вредоносные программы в системе. Как злоумышленникам удалось взломать маршрутизаторы MikroTik и предоставить вредоносный файл dll, неизвестно.

Что знают исследователи, так это то, что файл dll загружает различные модули, включая модуль ядра и модуль пользовательского режима. Модули предназначены для сбора и кражи данных и обеспечения безопасности системы. Чтобы запустить код в режиме ядра, Slingshot загружает подписанные уязвимые драйверы. Благодаря уязвимости в этих драйверах вредоносное ПО выполняет собственный код. Поскольку выполняется код с правами ядра, он имеет полный контроль над системой и может скрываться для антивирусного программного обеспечения.

Кибер-шпионаж
Целью Slingshot является кибер-шпионаж. Исследование показывает, что вредоносная программа собирает скриншоты, данные на клавиатуре, сетевые данные, пароли, соединения USB, активность на рабочем столе, содержимое буфера обмена и другие данные и отправляет их злоумышленникам. Что примечательно в отношении вредоносного ПО, так это то, что он отключает программное обеспечение для дефрагментации жесткого диска. Slingshot использует собственную зашифрованную файловую систему, которая может находиться в неиспользуемой части жесткого диска. При дефрагментации жесткого диска данные могут быть записаны в эту часть, что может повредить виртуальную файловую систему.

По данным «Лаборатории Касперского», Slingshot работает с 2012 года и по-прежнему работает. Антивирусная компания увидела около 100 жертв в Кении, Йемене, Афганистане, Ливии, Конго, Иордании, Турции, Ираке, Судане, Сомали и Танзании. Большинство жертв - это люди, а не организации, но различные правительственные организации и учреждения также страдают от вредоносного ПО. Большинство жертв наблюдались в Кении и Йемене. MikroTik сказал «Лаборатории Касперского» в комментарии, что последняя версия WinBox больше не загружает файл ipv4.dll на компьютер, с которым этот вектор атаки закрыт. В этом отчете (pdf) «Лаборатория Касперского» предоставляет информацию и хеши файлов и доменов, которые использует вредоносное ПО.

https://forum.mikrotik.com/viewtopic.php?t=131748