Ricercatori di Kaspersky Lab hanno scoperto quello che – visti gli investimenti necessari al suo sviluppo – sembra essere un malware governativo, uno dei più avanzati mai individuati. Denominato “Slingshot”, il malware consente di spiare i PC Windows mediante un attacco multi-livello che ha come target i router MikroTik, azienda di Riga (Lettonia) produttrice di apparati informatici di networking, in particolare router e apparati wireless. Secondo i ricercatori non sono solo i router di questo marchio a essere vulnerabili ma potrebbero essere anche dispositivi di altre marche.
Il malware sostituisce una libreria sfruttata nei sistemi operativi dei router con una versione malevola in grado di scaricare altri componenti, avviando poi un duplice attacco sui computer PC con Windows collegati in rete. Un primo attacco, denominato, Canhadr, esegue codice di basso livello (a livello kernel) che consente all’intruder di ottenere pieno accesso a unità di storage e memoria.
Il secondo modulo, denominato GollumApp, ha come obiettivo l’utente e prevede codice con migliaia di funzioni (oltre 1.500) che consentono gestire il filesystem e mantenere il malware in vita. Grazie ai due moduli in questione, Slingshot è in grado di raccogliere schermate, informazioni digitate sulla tastiera, dati che transitano in rete, password e monitorare attività varie dell’utente.
A rendere particolarmente pericoloso Slingshot sono vari trucchi sfruttati per impedire la sua individuazione. È in grado, ad esempio, di disattivare alcune funzioni quando individua le tipiche ricerche eseguite in ambito forense. Gli sviluppatori del trojan hanno anche creato un filesystem ad hoc in grado di sfruttare parti inutilizzate degli hard disk per nascondere elementi vari.
Come accennato, Kaspersky ritiene che dietro il malware via sia qualche ente governativo, come accaduto con la piattaforma “Regin” (che si pronuncia come l’ex presidente statunitense Reagan), ricercata campagna di APT (Advanced Persistent Threat) che ha colpito società di telecomunicazioni (Belgacom), istituzioni governative, organizzazioni politiche operanti in varie nazioni, istituti finanziarie o di ricerca ed esperti in matematica avanzata e crittografia.
Testi individuati all’interno del malware sembrano puntare a sviluppatori che parlano inglese ma individuare con sicurezza i responsabili non è facile. Secondo quanto rivelato Edward Snowden, l’attacco alla società di telecomunicazioni Belgacom usando “Regin” era stato a suo tempo organizzato dall’NSA e dalla corrispettiva agenzia inglese GCHQ.
