Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/03/2018
Slingshot, una APT dispersada pels routers
Es tractaria d’una Amenaça Persistent Avançada (APT per les seues sigles en anglès)
Aquesta APT hauria estat activa i oculta durant els últims sis anys. Donada la seua complexitat, es compara amb el malware Regin o Sauron, dissenyats per a atacar objectius molt concrets.
Pareix que la via d’entrada va ser l’accés a routers del fabricant Mikro Tik, on s’instal·le el programari maliciós. Slingshot càrrega controladors vulnerables firmats i executa el seu propi codi a través de les vulnerabilitats existents en el mode nucli de versions recents de Windows.
També podria haver explotat diverses vulnerabilitats zero-day. Donada la seua sofisticació, ha evitat ser descoberta fins fa a penes un mes. Entre els mètodes utilitzats per a evitar ser descoberta està l’apagat de components quan es carregaven eines forenses.
En resum, el seu principal objectiu era el ciberespionatge i amb això, s’hauria pogut recopilar captures de pantalla, pulsacions de teclat, contrasenyes, connexions USB, etc., inclús en equips pertanyents a governs.