ZoomKaspersky مختبر
لقد اكتشف الباحثون البرمجيات الخبيثة لدرجة أنها بقيت مخبأة لمدة ست سنوات على الرغم من إصابة 100 جهاز كمبيوتر على الأقل في جميع أنحاء العالم.
مقلاع – الذي يحصل على اسمه من النص الموجود داخل بعض من عينات البرامج الضارة المستردة – هي من بين أكثر الهجمات تقدمًا منصات اكتشفت من أي وقت مضى ، مما يعني أنه قد تم تطويره في نيابة عن دولة ذات موارد جيدة ، والباحثين مع موسكو مقرها ذكرت شركة كاسبرسكي لاب يوم الجمعة. تطور البرمجيات الخبيثة منافسيه من ريجين – مستتر المتقدمة التي أصيبت البلجيكي telecacom وغيرها من الأهداف البارزة لسنوات — و مشروع سورون ، قطعة منفصلة من البرامج الضارة يشتبه في كونها وضعت من قبل الدولة القومية التي ظلت مخبأة أيضا ل سنوات.
النظام البيئي المعقد
“اكتشاف Slingshot يكشف عن نظام بيئي معقد آخر حيث تعمل مكونات متعددة معًا لتوفير منصة تجسس إلكترونية مرنة ومزيت جيدًا ، “Kaspersky Lab كتب الباحثون في تقرير من 25 صفحة نشرت الجمعة. “ال البرمجيات الخبيثة متقدمة للغاية ، وحل جميع أنواع المشاكل من أ منظور فني وغالبا بطريقة أنيقة جدا ، والجمع المكونات الأقدم والأحدث في تفكير شامل ، عملية طويلة الأجل ، شيء يمكن توقعه من أرفع درجة ممثل جيد الموارد “.
لا يزال الباحثون لا يعرفون بالضبط كيف المقلاع أصاب في البداية جميع أهدافه. في العديد من الحالات ، ومع ذلك ، حصل مشغلو المقلاع على حق الوصول إلى أجهزة التوجيه التي قامت بها لاتفيا الشركة المصنعة MikroTik وزرعت رمز الخبيثة في ذلك. تفاصيل من تقنية جهاز التوجيه لا تزال غير معروفة ، ولكنها تنطوي على استخدام أداة تكوين MikroTik تسمى Winbox لتنزيل ديناميكي ربط ملفات المكتبة من نظام ملفات الموجه. أحد الملفات ، ipv4.dll ، هو عامل تنزيل ضار تم إنشاؤه بواسطة المقلاع المطورين. ينقل Winbox ipv4.dll إلى كمبيوتر الهدف ، يحمّلها في الذاكرة وينفذها.
في aSlingshot FAQ ، كتب الباحثون:
هذا DLL ثم يربط إلى IP الثابت والمنفذ (في كل الحالات التي رأيناها كانت عنوان IP للموجه) ، وتنزيل الآخر المكونات الخبيثة ، ويديرها.
لتشغيل الكود الخاص به في وضع kernel في أحدث إصدارات أنظمة التشغيل التي تحتوي على Driver Signature Enforcement، Slingshot الاحمال وقعت السائقين الضعفاء ويدير الكود الخاص بها من خلال نقاط الضعف.
بعد الإصابة ، فإن مقلاع تحميل عدد من الوحدات على الجهاز الضحية ، بما في ذلك اثنين ضخمة وقوية: Cahnadr ، الوحدة النمطية لوضع kernel ، و GollumApp ، وحدة نمطية لوضع المستخدم. ترتبط الوحدات اثنين وقادرة على دعم بعضها البعض في جمع المعلومات ، والمثابرة ، وتسرب البيانات.
الوحدة الأكثر تطوراً هي GollumApp. هذا يحتوي تقريبا 1500 وظيفة رمز المستخدم ويوفر معظم ما ورد أعلاه routines for persistence, file system control, and C&Cمجال الاتصالات.
يحتوي Canhadr ، المعروف أيضًا باسم NDriver ، على إجراءات منخفضة المستوى لـ شبكة ، عمليات IO ، وهلم جرا. برنامج وضع kernel الخاص به قادر لتنفيذ تعليمات برمجية ضارة دون تعطل نظام الملفات بالكامل أو تسبب شاشة زرقاء – إنجاز رائع. مكتوب في C النقي اللغة ، يوفر Canhadr / Ndriver الوصول الكامل إلى القرص الصلب وذاكرة التشغيل على الرغم من قيود أمان الجهاز ، [و] ينفذ السيطرة على سلامة مكونات النظام المختلفة لتجنب تصحيح الأخطاء والكشف عن الأمان.
قال الباحثون إن المقلاع ربما يكون قد استخدم طرقًا أخرى ، بما في ذلك نقاط الضعف في اليوم صفر ، للانتشار. لقد كانت نشطة منذ عام 2012 على الأقل وظل يعمل خلال الشهر الماضي. القدرة على بقاء قطعة كاملة من البرمجيات الخبيثة المخفية لفترة طويلة هي واحدة من الأشياء التي تجعلها كذلك المتقدمة.
واحدة من الطرق أخفى Slingshot نفسه كان استخدامه ل نظام الملفات الافتراضي المشفر الذي كان يقع عادة في جزء غير مستخدم من القرص الصلب. عن طريق فصل ملفات البرامج الضارة من نظام الملفات للكمبيوتر المصاب ، وقفت مقلاع كثيرا فرصة أفضل للبقاء التي لم يتم كشفها من قبل محركات مكافحة الفيروسات. آخر وشملت تقنيات الشبح تشفير جميع سلاسل النص في وحدات مختلفة ، استدعاء خدمات النظام مباشرة لتجاوز ما يسمى السنانير المستخدمة من قبل المنتجات الأمنية ، والقدرة على اغلاق أسفل المكونات عندما يتم تحميل أدوات الطب الشرعي.
الغرض الرئيسي من البرامج الضارة يبدو أن التجسس. اقترح تحليل Kaspersky Lab استخدام Slingshot لتسجيل الدخول نشاط سطح المكتب ومحتويات الحافظة وجمع لقطات الشاشة ، بيانات لوحة المفاتيح وبيانات الشبكة وكلمات المرور وبيانات اتصال USB. قدرة Slingshot على الوصول إلى kernel لنظام التشغيل يعني أن البرامج الضارة لديها حق الوصول إلى أي بيانات تم تخزينها على القرص الصلب أو في الذاكرة الداخلية للجهاز المصاب. أجهزة الكمبيوتر المصابة كانت موجودة في المقام الأول في كينيا واليمن ، ولكن أيضا في أفغانستان وليبيا والكونغو والأردن وتركيا والعراق والسودان ، الصومال وتنزانيا. ويبدو أن معظم الضحايا كانوا مستهدفين الأفراد. بعض ، ومع ذلك ، كانت المنظمات الحكومية و المؤسسات.
EnlargeKaspersky Lab
رسائل تصحيح مكتوبة في اللغة الإنجليزية الكمال تشير إلى أن تحدث المطورين تلك اللغة. كما هو معتاد في Kaspersky Lab تقارير ، تقرير يوم الجمعة لم يحاول تحديد المطورين من مقلاع بخلاف القول أنهم على الأرجح عملت نيابة عن دولة قومية.
“مقلاع معقدة للغاية ، والمطورين وراء ذلك لديهم من الواضح أنه قضى الكثير من الوقت والمال في إنشائه ” كتب باحثو الشركة. “ناقل العدوى الخاص به رائع ، على حد علمنا ، فريدة من نوعها “.