Вирус Slingshot - опасный долгожитель

20 Марта 2018

Специалистами «Лаборатории Касперского» был обнаружен опасный вирус, используемый для осуществления шпионажа и остававшийся до этого незамеченным уже, по меньшей мере 6 лет. Вредонос получил название Slingshot, что в переводе с английского языка означает «выстрел из рогатки» или же просто «рогатка» что в принципе, соответствует методу распространения программы.

Вирусная программа была обнаружена в ходе случайного эксперимента при анализе образца кода, совпавшего с кодом Slingshot, который был помечен как «версия 6.х». Благодаря данной метке и стало известно об уже долгом существовании вируса.

Одним из главных отличий Slingshot является его сложность степени реализации. Эксперты выяснили, что в ПК зловред попадает путем взлома роутера. Когда пользователь пытается подключиться к нему для настройки, на компьютер перемещается специальный модуль, который в свою очередь запускает скачивание остальных компонентов зловреда. В числе этих модулей Cahnadr, позволяющий управлять зараженным компьютером, и GollumApp, который содержит порядка тысячи функций, помогающих управлять файловой системой. Один из них также способен работать в режиме ядра, в результате чего получает полную власть над «зараженным» компьютером, а значит, имеет доступ к хранящимся на устройстве данным на всех уровнях защиты: поступающему тексту, фотографиям, сохраненным паролям, данным из буфера обмена и многому другому. Доступ к ядру означает, что теоретически Slingshot может «украсть» все что угодно. Причем благодаря многоуровневой системе, увеличивается скорость атаки, а если к роутеру подключено сразу несколько ПК, атака производится одновременно на все устройства.

Каким образом происходит взлом роутера, пока можно только предполагать. Ясно лишь то, что создание угрозы такого уровня и исполнения стоит больших ресурсов, в том числе времени, а разработка выполнена высококлассными профессионалами. Предполагается, что спонсирование осуществляется на государственном уровне. Проанализированный код Slingshot дает основание полагать, что разработчики имеют англоязычное происхождение. Эксперты предполагают, что главная цель вредоноса – кибершпионаж, однако об истинных мотивах использования данного вируса остается только догадываться.

Почему же угроза все это время оставалась незамеченной? Ответ кроется в самой реализации кода. Вирус использует многочисленные уловки, дабы избежать обнаружения. Например, вызов каких-либо системных служб происходит напрямую, без нарушения работы всей файловой системы. В зависимости от вида защитных решений Slingshot сам выбирает «сценарий» действия, усложняя анализ и шифрование. Вирус способен самостоятельно отключаться, чтобы избежать обнаружения, когда начинается проверка. Помимо этого, чтобы отвлечь от себя внимание антивируса, зловред может самостоятельно запускать проверку безопасности компьютера. Избавиться от него путем перезагрузки или переустановки роутера не получится: Slingshot «выживет» из-за многократного самокопирования вредоносного ПО. Вирус, был внесен в реестр вирусных угроз Лаборатории Касперского.

На данный момент обнаружено около ста жертв угрозы – большинство из них располагается в странах Ближнего Востока и Африки. Среди пострадавших также отмечаются обычные пользователи и даже государственные структуры. Россию вирус не затронул.

Не вызывает сомнения, что Slingshot – по-настоящему величайшая работа киберпреступников, весь спектр возможностей которой, пока что остается угрозой высокого уровня сложности для всех пользователей, тем или иным образом столкнувшихся с данным вирусом.