Un nuevo y potente malware ha sido descubierto por la firma de seguridad Kaspersky Lab. El código toma el control total de los MikroTik, permitiendo realizar toda clase de actividades indeseadas con los dispositivos conectados.

Fue apodado como Slingshot, y tiene un mecanismo de acción que ataca en múltiples capas. Según el reporte de Kaspersky recogido por Engadget, el malware reemplaza un archivo de la biblioteca con una versión maliciosa que descarga otros componentes. Con esta base, lanza un sofisticado ataque que obtiene el control total del dispositivo.

Existe dos lineamientos principales: Canhadr, que ejecuta un código de bajo nivel en el kernel, entregando control al intruso; y GollumApp, que se enfoca en el usuario mismo y en mantener el malware activo. Aunque Kaspersky, no ha dado mayores detalles de las vulnerabilidades de entrada que ofusca el software de administración, sí se ha referido al código como “una obra maestra”.

Los atacantes pueden robar lo que quieran: desde el tráfico de red y contraseñas, hasta las pulsaciones del teclado o la pantalla de un ordenador. Lo destructivo del ataque, ha llevado a pensar a la firma de seguridad que podría tratarse de una creación propia de alguna agencia de inteligencia y espionaje.

Slingshot ya ha tomado el control de numerosos dispositivos en Afganistán, Iraq, Jordania, Kenia, Libia y Turquía (aunque el alcance puede aplicarse globalmente), y ha comprometido información de instituciones gubernamentales. Desde Kaspersky no han escatimado en señalar que sus sospechas a puntan a un país de habla inglesa, teniendo a EE. UU. y Reino Unido entre los sospechosos.

El ataque Slingshot ya ha sido abordado y las últimas actualizaciones de los routers MikroTik debiesen venir con la vulnerabilidad parchada.

Mikrotik Forum:

La empresa Kaspersky Lab detectó un ataque de espías a través de enrutadores MikroTik pirateados que han causado víctimas principalmente en África y Medio Oriente.

Este ataque que es comparable en complejidad a dos ataques de espionaje previamente descubiertos conocidos como Regin y Sauron.

Slingshot, como se llama al grupo detrás del ataque, utiliza enrutadores MikroTik comprometidos para infectar a las víctimas. MikroTik ofrece a los clientes un programa llamado WinBox para administrar enrutadores. Este programa, que está en el enrutador, descarga una cantidad de archivos dll del sistema de archivos del enrutador y los carga directamente en la memoria de la computadora.

Para infectar a los administradores de los enrutadores MikroTik, los atacantes han colocado una versión maliciosa del archivo dll llamado ipv4.dll en los enrutadores comprometidos. Después de ser agregado, este archivo dll es descargado y ejecutado por WinBox. Según los investigadores, este archivo DLL es un descargador de troyanos que instala malware adicional en el sistema. No se sabe cómo los atacantes lograron hackear los enrutadores MikroTik y proporcionar el archivo dll malicioso.

Lo que sí saben los investigadores es que el archivo dll descarga varios módulos, incluidos un módulo kernel y un módulo de modo usuario. Estos módulos están diseñados para recopilar y robar datos y mantener el sistema en peligro. Para ejecutar código en modo kernel, Slingshot carga controladores vulnerables firmados. A través de las vulnerabilidades en estos controladores, el malware ejecuta su propio código. Debido a que se ejecuta el código con derechos de kernel, tiene control total sobre el sistema y puede ocultarse para el software antivirus.

Ciberespionaje El objetivo de Slingshot es el espionaje cibernético. La investigación muestra que el malware recopila capturas de pantalla, datos de teclado, datos de red, contraseñas, conexiones USB, actividad de escritorio, el contenido del portapapeles y otros datos y los envía de vuelta a los atacantes. Lo destacable del malware es que deshabilita el software para desfragmentar el disco duro. Slingshot usa su propio sistema de archivos encriptados que puede estar en una parte no utilizada del disco duro. Al desfragmentar el disco duro, se pueden escribir datos en esta parte, lo que puede dañar el sistema de archivos virtual.

Según Kaspersky Lab, Slingshot ha estado activo desde 2012 y todavía está en funcionamiento. La compañía anti-virus ha visto alrededor de 100 víctimas en Kenia, Yemen, Afganistán, Libia, Congo, Jordania, Turquía, Irak, Sudán, Somalia y Tanzania. La mayoría de las víctimas son individuos en lugar de organizaciones, pero varias organizaciones gubernamentales e instituciones también se ven afectadas por el malware. La mayoría de las víctimas fueron observadas en Kenia y Yemen. MikroTik le dijo a Kaspersky Lab en un comentario que la última versión de WinBox ya no descarga el archivo ipv4.dll a la computadora, con la que se cierra este vector de ataque.

Fuente: Fayerwayer - Mikrotik Forum