Assistenza Informatica & Sistemistica - Xion Informatica Milano
Assistenza Informatica & Sistemistica - Xion Informatica Milano
Venerdì, 23 Marzo 2018 15:44

Slingshot, il "capolavoro" dei malware per lo spionaggio

Vota questo articolo
(0 Voti)

Roma - Kaspersky ha svelato l'esistenza di Slingshot, un attacco di tipo APT (Advanced Persistent Threat) che ha tutta l'aria di essere una sofisticata operazione di spionaggio di stato - anche se al momento le responsabilità non sono chiare. Di particolare rilievo la complessità dell'attacco, e la capacità di compromettere tutte le comunicazioni del sistema infetto.

Slingshot arriva sul PC bersaglio per mezzo del software di gestione dei router MikroTik, dispositivi che a dire di Kaspersky sono progettati per scaricare alcune librerie dinamiche (DLL) in autonomia e che vengono appunto infettati con il download di librerie infette.

Una volta compromesso il router, Slingshot scarica i due principali componenti dell'infezione sul computer: il primo, Canhadr, esegue codice a basso livello nello spazio del kernel infettando i driver di periferica vulnerabili ma dotati di una firma digitale valida, mentre il secondo, GollumApp, agisce nello spazio utente per coordinare e gestire gli altri elementi dell'infezione.Slingshot ha la capacità di diventare "invisibile" ai controlli di sicurezza, dice Kaspersky, e i due succitati componenti rappresentano degli autentici "capolavori" nel business del codice malevolo essendo dotati di meccanismi di contrasto alla scansione da parte degli anti-malware, di un file system virtuale cifrato - all'interno del quale sono archiviati i file dell'attacco - e di stringe di testo completamente cifrate per ridurre al minimo le possibilità di individuazione.

Non è un caso, infatti, che Slingshot sia in circolazione dal 2012 e sia stato scoperto solo ora, mentre per la complessità della minaccia Kaspersky evoca paragoni con Regin, il super-malware presente nel cyber-arsenale dell'intelligence statunitense (NSA). Simili sarebbero anche le finalità, visto che i sistemi infetti con Slingshot sono stati individuati in quei paesi (Afghanistan, Iraq, Giordania, Libia, Turchia) che destano particolare preoccupazione per i governi occidentali.

Copyright

Letto 855 volte
Copyright © Xion Informatica S.n.c. - P. IVA 06455280963
Powered by Rubedo Marketing & Web Solution
Security by Ermeteus