Serangan malware canggih melalui router

Periset keamanan di Kaspersky Lab telah menemukan apa yang mungkin merupakan strain malware yang disponsori negara bagian, dan yang satu ini lebih maju daripada kebanyakan. Dijuluki Slingshot, kode mata-mata pada PC melalui serangan multi-layer yang menargetkan router MikroTik. Ini pertama kali menggantikan file library dengan versi jahat yang mendownload komponen berbahaya lainnya, dan kemudian meluncurkan serangan dua cabang yang cerdas ke komputer itu sendiri. Satu, Canhadr, menjalankan kode kernel tingkat rendah yang secara efektif memberi penyusup kebebasan, termasuk akses yang dalam ke penyimpanan dan memori; yang lain, GollumApp, berfokus pada tingkat pengguna dan menyertakan kode untuk mengkoordinasikan usaha, mengelola sistem file dan menjaga malware tetap hidup.

Kaspersky menggambarkan kedua elemen ini sebagai “karya besar”, dan untuk alasan yang bagus. Untuk satu, tidak berarti feat untuk menjalankan kode kernel yang tidak bersahabat tanpa crash. Slingshot juga menyimpan file malware-nya dalam sistem file virtual terenkripsi, mengenkripsi setiap string teks dalam modulnya, memanggil layanan secara langsung (untuk menghindari tersandung pemeriksaan perangkat lunak keamanan) dan bahkan mematikan komponen saat alat forensik aktif. Jika ada metode umum untuk mendeteksi malware atau mengidentifikasi perilakunya, Slingshot kemungkinan memiliki pertahanan untuk melawannya. Tidak mengherankan jika kode ini telah aktif sejak setidaknya 2012 – tidak ada yang tahu itu ada di sana.

Malware ini dapat mencuri secara efektif apa pun yang diinginkannya, termasuk goresan keyboard, lalu lintas jaringan, kata sandi dan tangkapan layar. Ini tidak pasti bagaimana Slingshot masuk ke sistem selain memanfaatkan perangkat lunak manajemen router, namun Kaspersky menunjuk beberapa “contoh”

Kombinasi dari kecanggihan ini dengan fokus mata-mata membuat Kaspersky percaya bahwa kemungkinan penciptaan lembaga negara – ini menyaingi malware Regin GCHQ yang biasa memata-matai kapal induk Belgia Belgacom. Dan sementara petunjuk petunjuk petunjuk bahwa penutur bahasa Inggris mungkin bertanggung jawab, pelakunya tidak jelas. Hanya malu terhadap 100 individu, pakaian pemerintah dan institusi jatuh ke Slingshot di negara-negara termasuk Afghanistan, Irak, Yordania, Kenya, Libya dan Turki. Ini bisa menjadi salah satu dari lima mata negara (Australia, Kanada, Selandia Baru, Inggris dan Amerika Serikat) yang mengawasi negara-negara dengan isu terorisme yang signifikan, tapi itu jauh dari pasti.

Slingshot harus diperbaiki seperti update firmware router MikroTik terbaru. Perhatian, seperti dugaan Anda, adalah bahwa pembuat router lain mungkin terpengaruh. Jika memang begitu, ada kemungkinan Slingshot memiliki jangkauan yang jauh lebih luas dan masih mengambil data sensitif.

Leave a Reply

Your email address will not be published. Required fields are marked *