Slingshot: así es el sofisticado e increíble ataque de ciberespionaje que se gesta desde un router

Autor: | Posteado en Tecnología Sin comentarios

Wireless 1861612 1280

Imaginen alguna herramienta diseñada específicamente para tareas de ciberespionaje, la cual es apto de acceder a vuestro ordenador utilizando el router como puerto de entrada. Y alguna vez dentro, obtener privilegios del sistema para tener control de todo lo que sucede adentro de vuestro dispositivo. Podría sonar como guión de movie de espías, pero es real, existe y acaba de ser descubierta.

Lleva por nombre ‘Operación Slingshot’ y se trata de 1 de los ataques mas avanzados de los últimos años, el cual parece Estad dirigido a objetivos muy concretos, personas e instituciones, en Medio Oriente y África. Un combate que se imagine que lleva operando desde al menos 2012 y que ha afectado a cerca de 100 víctimas.

Un malware hecho a la medida del que no se sabe quién está detrás

Slingshot fue descubierto luego de que un conjunto de investigadores de Kaspersky Lab encontrara un keylogger adentro del ordenador de alguna institución gubernamental africana. Ante esto, se creó un seguimiento del comportamiento de este programa para ver si aparecía en otro lugar, lo que llevó a encontrarse con un archivo sospechoso adentro de la carpeta del sistema llamado ‘scesrv.dll’.

Después de examinar este archivo, se encontró que cuenta con código malicioso en su interior apto de obtener privilegios del sistema a través de ‘services.exe’, por lo que se trata de un malware increíblemente avanzado que se ejecuta sobre kernel, arribando así incluso el centro del ordenador tomando control de él sin que el cliente siquiera se percate de su existencia.

Slingshot posee alguna figura de atacar que jamás anteriormente se había visto, ya que se trata de algo reciente que no se basa en ningún otro malware que haya surgido anteriormente. Por ello, se imagine que se trata de una herramienta creada a la medida por profesionales, quienes probablemente están financiados por algún país, ya que inicialmente se creyó que se trataba de hacktivismo. Pero al ver lo sofisticado del ataque, se descartó esta teoría.

Sas Infographics Slingshot How It Attacks

Entre lo que se ha ido revelando acerca de Slingshot está el hecho de que la infección proviene de routers hackeados, los cuales están cargados con enlaces dinámicos maliciosos, que de hecho es un programa de descarga para otros archivos. Cuando el director(admin) inicia sesión para configurar el router, se descarga y ejecuta este código en el ordenador del administrador, infectando así a toda la red en sólo unos minutos.

Aún se desconoce el método que han utilizado los atacantes para hackear (crackear) los routers. Una vez que el ordenador está infectado, 2 potentes herramientas como Cahnadr y GollumApp hacen el labor sucio. Ambos módulos están conectados entre sí y son capaces de recopilar toda la información del dispositivo para luego enviarla a los atacantes.

Slingshot hace capturas de pantallas cada cierto tiempo, obtiene datos de lo que recibe el teclado, datos de la red y conexiones, contraseñas, aparatos conectados vía USB, la actividad del escritorio, los archivos(datos) guardados en portapapeles y demasiado más. Y es que hay que recordar que este malware tiene entrada al Kernel, por lo que tiene entrada a todo.

Potente y discreto

Pero eso no es todo, ya que Slingshot además sabe esconderse. Incluye cifrado en todos sus módulos y cadenas, se conecta directamente a los servicios del sistema para eludir a los antivirus y otros programas de seguridad. Usa técnicas anti-depuración y selecciona los procesos en los que se activará dependiendo de los niveles de seguridad instalados en el ordenador, para así pasar totalmente desapercibido.

Pero lo mas alucinante de todo, es que Slingshot se aprovecha de los datos que obtiene vía Kernel para ocultar su notificación y enlaces como si fuese un protocolo legitimo, por lo que jamás levanta sospechas. Esto lo hace interceptando conexiones reales para posteriormente hacerse pasar por ellas, todo sin dejar rastros al controlar y ocultar las direcciones IP.

Code 1689066 1280

La investigación además mostró que se trata de la versión 6.x, lo que menciona que Slingshot ha existido desde hace diversos años. Esto podría delucidar su complejidad, lo cual sin duda requirió demasiado período para su desarrollo y sobre todo dinero, ya que es toda alguna obra de arte.

Por lo anterior, se imagine que hay alguien con demasiado poder posterior de su desarrollo, alguien planeado y profesional. Las pistas presentan código en habla inglesa, siquiera la atribución exacta es complicada u casi inalcanzable de determinar.

Quiénes son los afectados y cómo cerrar esta amenaza

Los investigadores aseguran que existen incluso febrero de 2018 cerca de 100 afectados por Slingshot, los cuales están ubicados en Yemen, Kenia, Afganistán, Libia, Congo, Jordania, Turquía, Irak, Sudán, Somalia y Tanzania. Estos afectados son básicamente personas especificas relacionadas con el gobierno y sólo algunas organizaciones, por lo que se imagine que está muy bien estudiado para espiar a ciertos miembros.

Sas Infographics The Map Of Slingshot Attacks

Los routers de la marca Mikrotik son los afectados y para esquivar un probable combate se debe actualizar el firmware a la última versión cuanto antes. Esta es la única figura de garantizar su eliminación y protección contra probables derivados basados en Slingshot que pudiesen surgir.

Más información | Securelist

También te recomendamos

Kaspersky Lab ha colaborado con la inteligencia rusa, afirman en Bloomberg

Qué son y cómo esquivar los chicharros en la Bolsa

Por qué es tan peligroso que Kaspersky Lab ceda su código fuente al gobierno de los EE.UU.


La noticia Slingshot: así es el sofisticado e increíble combate de ciberespionaje que se gesta desde un router fue notificada originalmente en Xataka por Raúl Álvarez .


Xataka

Todo lo que esta escrito en este sitio web es recopilado de otros sitios oficiales, los enlaces a las paginas oficiales se presentan en cada termino de noticia y no perjudicaremos su noticia.

Noticias Relacionadas:

Agrega tu comentario