Сложен малуер, който е толкова мощен, че може да следи всичко случващо се на компютъра, без дори да е инсталиран на него, е останал скрит цели шест години. Slingshot, който наскоро беше открит от Kaspersky Labs, се крие не къде да е, а в рутера и зад неговата разработки стои цяла държава. Заразените устройства, които са идентифицирани, ще бъдат коригирани чрез актуализации на софтуера, но всъщнаст няма информация колко машиин са били засегнати.
Изследователите не знаят как точно Slingshot заразява мишените си, но в някои от случаите злонамерено приложение е било доставяно заедно с рутери Mikro Tik, до които са имали достъп операторите на малуера.
„Злонамереният софтуер е много напреднал, решавайки всякакви проблеми от техническа гледна точка по много елегантен начин, съчетавайки по-стари и по-нови компоненти в задълбочена, дългосрочна операция – нещо, което се очаква от високо ниво програмисти“ твърдят учените в своя доклад.
След като зарази рутера, Slingshot зарежда няколко огромни имощни модула в компютъра на мишената. Това включва модул за ядрото, наречен Cahnadr и модул за потребителския режим, наречен GollumApp, които могат да се поддържат помежду си, за да събират данни и да ги изпращат на атакуващия. Злонамереният софтуер е използван най-вероятно за шпионски цели, тъй като е в състояние да регистрира данни за активността на машината и клипборда, да събира скрийншоти, клавишни данни, мрежови данни, пароли и данни от USB устройства. Заразените машини са разположени главно в Кения и Йемен, но и в Афганистан, Либия, Конго, Йордания, Турция, Ирак, Судан, Сомалия и Танзания. Целите включват държавни организации и институции, както и физически лица, а Kaspersky не е успяла да идентифицира създателите на малуера, но посочва, че съобщенията за отстраняване на грешка са написани на перфектен английски, което предполага, че разработчиците говорят езика.
Едно от невероятните неща, които Slingshot е направил, за да скрие съществуването си е да използва криптирана виртуална файлова система, разположена в неизползваната част на хард диска. Злонамереният софтуер криптира всички текстови редове в различните модули, за да заобиколи продуктите за сигурност и изключва отделни компоненти, когато се използват такива инструменти на самато устройство.
„Софтуерът е много сложен и разработчиците, стоящи зад него са използвали много време и пари за създаването му, а векторът на заразяване е забележителен и уникален“ твърдят специалистите.
