Investigadores de Kaspersky Lab han descubierto una Amenaza Persistente Avanzada (APT en sus siglas en inglés) que ha estado activa y oculta durante los últimos seis años, esparciéndose a través de routers y habiendo afectado a por lo menos 100 computadoras.
La APT, que ha recibido el nombre de Slingshot por el texto de las muestras recuperadas, es una de las plataformas de ataque más avanzadas que se han descubierto, lo que dispara las sospechas de que haya sido desarrollado por o con colaboración de algún estado. Su sofisticación ha sido comparada por los investigadores de Kaspersky Lab con la del Regin y Sauron, que también han sido presuntamente impulsados con apoyo estatal.
Lo sofisticado de Slingshot se debe a que se ha descubierto un complejo ecosistema en el cual múltiples componentes trabajan juntos con la misión de ofrecer una plataforma muy flexible y muy refinada dedicada al ciberespionaje. De hecho, los investigadores de Kaspersky no han podido evitar elogiarlo, diciendo que “el malware es muy avanzado, capaz de resolver todo tipo de problemas desde una perspectiva técnica y a menudo de manera elegante mediante la combinación de componentes antiguos y otros más nuevos en una operación a largo plazo cuidadosamente pensada, algo que se puede esperar de un actor de primera categoría y con buenos recursos.”
Sin embargo, todavía queda por conocer ciertas cosas sobre Slingshot, entre ellas el cómo infectó a sus objetivos. De momento se sabe que sus operadores obtuvieron acceso a los routers del fabricante letón MikroTik, llegando a implantar un malware en ellos. La técnica utilizada todavía no se conoce, pero sí se sabe que se apoyó en una utilidad llamada Winbox para descargar ficheros de Biblioteca de Enlace Dinámico (DLL) desde el sistema de ficheros del router. Uno de estos, ipv4.dll, es un agente de descarga malicioso que se transfiere a la computadora objetivo mediante Winbox.
Slingshot carga controladores vulnerables firmados y ejecuta su propio código a través de las vulnerabilidades que halla en el modo kernel de las versiones más recientes de Windows, las cuales soportan el Firmado Forzado del Driver. Tras hacer esto, se dedica a cargar módulos en el sistema infectado, de los que se pueden destacar dos muy poderosos: Cahnadr, un módulo para el modo kernel, y GollumApp, un módulo para el modo usuario. Ambos están conectados para resultar persistentes, recolectar información y filtrar datos. El segundo resulta más sofisticado que el primero, debido a que contiene cerca de 1.500 funciones de usuario e incluye las de persistencia, control del sistema de ficheros y las comunicaciones con el servidor de mando y control. Por su parte, Cahnadr es un programa que ejecuta código malicioso sin provocar el cuelgue del sistema. Contiene rutinas de red a bajo nivel, operaciones de entrada-salida y está escrito en C, lenguaje de programación que actualmente se utiliza sobre todo para el desarrollo de drivers y componentes que trabajan a bajo nivel.
Kaspersky Lab no descarta que lo largo de su trayectoria Slingshot haya explotado diferentes vulnerabilidades zero-day, y por lo que se sabe hasta ahora ha estado activo hasta el mes pasado. El hecho de que haya conseguido permanecer oculto durante seis años deja en evidencia su alta sofisticación. Para evitar ser detectado por las soluciones antimalware, ha utilizado un sistema de ficheros virtual cifrado generalmente localizado en una parte no utilizada del disco duro, algo a lo que suma la segregación de ficheros en la computadora infectada. Otras técnicas detectadas han sido el cifrado de todas las cadenas de texto en varios de sus módulos, llamadas directas a los servicios de Windows para saltarse los señuelos de los productos de seguridad y el apagado de componentes cuando se cargaban herramientas forenses.
Debido a que, al menos de momento, todo apunta a que Slingshot es una APT impulsada por o con el apoyo de un estado, su principal actividad fue el espionaje, pudiendo haber registrado la actividad del portapaleles, recolectar capturas de pantalla, registrar pulsaciones de teclado, contraseñes y conexiones de dispositivos USB. Los países más afectados han sido Afganistán, Libia, Congo, Jordania, Turquía, Iraq, Sudán, Somalia y Tanzania. No se descarta que entre las víctimas haya computadoras pertenecientes a gobiernos.