Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/03/2018
Slingshot, una APT dispersada por los routers
Se trataría de una Amenaza Persistente Avanzada (APT por sus siglas en inglés)
Esta APT habría estado activa y oculta durante los últimos seis años. Dada su complejidad, se compara con el malware Regin o Sauron, diseñados para atacar objetivos muy concretos.
Parece que la vía de entrada fue el acceso a routers del fabricante Mikro Tik, donde se instalo el malware. Slingshot carga controladores vulnerables firmados y ejecuta su propio código a través de las vulnerabilidades existentes en el modo kernel de versiones recientes de Windows.
También podría haber explotado diversas vulnerabilidades zero-day. Dada su sofistificación, ha evitado ser descubierta hasta hace apenas un mes. Entre los métodos utilizados para evitar ser descubierta está el apagado de componentes cuando se cargaban herramientas forenses.
En resumen, su principal objetivo era el ciberespionaje y con ello, se habría podido recopilar capturas de pantalla, pulsaciones de teclado, contraseñas, conexiones USB, etc. incluso en equipos pertenecientes a gobiernos.
Más información.