Minh tin tặc tấn công trung đông và châu Phi thông qua bộ định tuyến

Computer Security News

Chuyên gia bảo mật Kaspersky Lab cảnh báo của một nhóm gián điệp cyber mà các thành viên đã tấn công người dùng tại Trung Đông và châu Phi thông qua router của họ. Theo các nhà nghiên cứu, nhóm gián điệp này đã hoạt động từ ít nhất là năm 2012, và các cuộc tấn công gần đây nhất đã được phát hiện cuối tháng.

Xấp xỉ 100 súng cao su nạn nhân đã xác định cho đến nay, hầu hết trong số họ ở Kenya và Yemen, Tuy nhiên, cũng có những mục tiêu đã đăng ký tại Afghanistan, Congo, Libya, Thổ Nhĩ Kỳ, Jordan, Sudan, Iraq, Tanzania, và Somalia.

Chiến dịch phần mềm độc hại thường tập trung vào người dùng cá nhân, mặc dù các nhà nghiên cứu cũng đã phát hiện các cuộc tấn công nhắm mục tiêu các tổ chức chính phủ cũng như một số quán cà phê internet.

Phần chính của phần mềm độc hại mà tin tặc sử dụng gọi là súng cao su, và nó được dựa trên bên trong dây phát hiện bởi các nhà phân tích an ninh. Malware này được biết đến lây nhiễm cho máy tính thông qua bộ định tuyến thỏa hiệp, đặc biệt là những người được thực hiện bởi Mikrotik, Latvia.

Hiện nay, không có thông tin về cách thức các router được nhắm mục tiêu nhận được xâm phạm, Tuy nhiên, theo Kaspersky chuyên gia WikiLeaks Vault7 tập tin bao gồm một khai thác Mikrotik.

Các nhà cung cấp nói rằng họ có vá các lỗ hổng thừa hưởng bằng cách khai thác Vault7 và nó không phải là rõ ràng nếu các tin tặc đang sử dụng các véc tơ ban đầu.

Ngay sau khi những kẻ tấn công truy cập vào một bộ định tuyến, họ có thể lạm dụng một hợp pháp phần mềm tên là WinBox-đây là một công cụ quản lý được cung cấp bởi Mikrotik tải về một số file DLL từ router và tải chúng trực tiếp vào bộ nhớ của máy tính.

Bởi lạm dụng chức năng nêu trên, những tên tội phạm súng cao su có thể cung cấp phần mềm độc hại cho người quản trị của router được nhắm mục tiêu.

Về cơ bản, phần mềm độc hại là một bộ nạp giai đoạn đầu tiên mà thay thế hợp pháp tập tin DLL trong Windows với các phiên bản độc hại có cùng kích thước chính xác. DLL độc hại được nạp bởi quá trình services.exe có đặc quyền hệ thống.

Chính các mô-đun tải về bằng súng cao su được gọi là Cahnadr và GollumApp. Cahnadr, còn được gọi là Ndriver, là một chế độ hạt nhân tải trọng cung cấp cho tất cả các khả năng cần thiết bằng chế độ sử dụng mô-đun, bao gồm cả chống, gỡ lỗi, chức năng rootkit, chèn các mô-đun vào quá trình services.exe, mạng lưới thông tin liên lạc, và đánh hơi khả năng cho các giao thức khác nhau.

GollumApp là mô-đun chính chế độ người dùng tạo ra để quản lý các module chế độ người dùng khác trong khi liên tục tương tác với Cahnadr. Nó bao gồm một loạt các tính năng gián điệp tập trung cho phép hacker để chụp ảnh chụp màn hình, đăng nhập tổ hợp phím, thu thập dữ liệu hệ thống và mạng, thu hoạch mật khẩu, thao tác dữ liệu clipboard, chạy tiến trình mới với hệ thống quyền và tiêm khác Mô-đun độc hại vào một quá trình được chỉ định. Ngoài ra, phần mềm độc hại cho phép tin tặc chiếm quyền kiểm soát đầy đủ của máy tính bị nhiễm bệnh.

Súng cao su cố gắng trốn thoát phát hiện bằng cách sử dụng phương pháp khác nhau, bao gồm cả gọi điện thoại Dịch vụ hệ thống trực tiếp trong một nỗ lực để vượt qua bảo mật sản phẩm móc, dây trong mô-đun, và tiêm chích có chọn lọc các quy trình tùy thuộc vào những gì sản phẩm bảo mật mã hóa được trình bày.

Bên cạnh đó, phần mềm độc hại sử dụng một số kỹ thuật phức tạp khi nói đến lệnh và kiểm soát (C & C) truyền thông-nó ẩn của lưu lượng truy cập trong giao thức truyền thông hợp pháp, Giữ một mắt cho các gói dữ liệu có chứa một nhãn hiệu đặc biệt.

Dựa trên tất cả các phân tích cho đến nay, Kaspersky Lab tuyên bố rằng đây là một chiến dịch gián điệp cyber nhà nước tài trợ, và mức độ tinh tế đối thủ ở cấp độ của Regin và ProjectSauron diễn viên mối đe dọa.


Leave a Reply

Your email address will not be published. Required fields are marked *