Slingshot-malware is zeer verfijnd en al zes jaar actief

Abonneer je gratis op Techzine!

Onderzoekers van Kaspersky Lab hebben ontdekt dat er al zes jaar malware rondgaat die gericht is op routers. Deze schijnt zeer goed ontwikkeld te zijn en bespioneert computers via MikroTik-routers. Volgens de onderzoekers van Kaspersky zijn twee elementen van de malware “meesterwerken” door de zeer verfijnde techniek die erachter schuilgaat.

De malware is Slingshot gedoopt en is zeer waarschijnlijk ontwikkeld door een overheid. Allereerst vervangt de malware een library-bestand met een versie met malware daarin. Vervolgens downloadt dat bestand andere componenten, waarna een tweeledige aanval gelanceerd wordt op computers zelf.

Tweeledige aanval

De eerste van die aanvallen Canhadr, draait low-level kernel code die effectief gezien de indringer vrij spel geeft, waaronder toegang tot de opslag en het geheugen van een computer. Het tweede deel heet GollumApp en focust zich op het gebruikersniveau en bevat code die ervoor zorgt dat de malware zo lang mogelijk actief kan blijven.

Kaspersky noemt die twee elementen “meesterwerken” en doet dat met goede reden. Slingshot slaat delen van de malware op in een versleuteld virtueel bestandssysteem en zorgt ervoor dat alle modules versleuteld worden. Daarnaast schakelt de malware zichzelf uit als een virusscanner actief is. Sterker nog, volgens de ontwikkelaars is de code bewapend tegen veruit de meeste detectiemethodes.

Niets is veilig

Slingshot, dat al sinds 2012 actief is, kan verder zo’n beetje alle mogelijke data stelen. Denk aan toetsenbordaanslagen, netwerkverkeer, wachtwoorden en kan screenshots maken. Het is niet zeker hoe Slingshot dat voor elkaar krijgt, maar volgens Kaspersky zijn er meerdere verschillende manieren waarop het dat doet.

Het feit dat de code zo verfijnd is en al zo lang actief is, wijst er volgens Kaspersky op dat Slingshot ontwikkeld is door overheden. Daarnaast denkt de firma dat de code door een Engelstalig land ontwikkeld is. Een recente firmware-update van MikroTik zou Slingshot (voorlopig) uitgeschakeld hebben.