Scoperto un nuovo sofisticato malware che attacca i router
INFORMAZIONI SCHEDA
I ricercatori di sicurezza di Kaspersky Lab hanno scoperto quello che potrebbe a tutti gli effetti essere un altro ceppo di un malware sponsorizzato da qualche stato, con la differenza che risulta essere più avanzato di molti altri. Soprannominato Slingshot, il virus spia i PC attraverso un attacco multilivello che ha come obiettivo i router.
Ad essere interessati però sarebbero solo i router MikroTik.
Il codice sostituisce dapprima un file di libreria con una versione malevola che scarica altri componenti dannosi e quindi lancia un attacco sui computer. Uno, Canhadr, esegue un codice kernel di basso livello che dà effettivamente libero accesso all'intruso, incluso l'accesso allo storage ed alla memoria. L'altro, GollumApp, si concentra sul livello utente ed include il codice per coordinare gli sforzi, gestire il file system e mantenere vivo il malware.
Kaspersky descrive questi due elementi come dei veri e propri "capolavori" per diverse ragioni.
La prima è da ricercare nel fatto che non è un'impresa da poco eseguire codice del kernel senza crash. Slingshot memorizza anche i suoi file malware in un file system virtuale crittografato, crittografa ogni stringa di testo nei suoi moduli, esegui i servizi direttamente, e spegne le componenti anche quando gli strumenti di ricerca malware sono attivi. Se esiste un metodo comune per rilevare il malware o identificarne il comportamento, Slingshot con ogni probabilità ha qualche sistema di protezione. Ecco perchè per i ricercatori non rappresenta una sorpresa il fatto che il codice sia attivo dal 2012 e fino ad oggi nessuno ne fosse a conoscenza.
Nel rapporto si legge che il malware può realmente rubare tutto ciò che vuole, ed è in grado di intercettare anche gli input della tastiera, le password, le schermate, ed il traffico di rete. Non è chiaro come Slingshot entri nel sistema, oltre a sfruttare il software di gestione del router.
La combinazione di tutti questi elementi porta Kaspersky a credere che si tratti di un attacco sponsorizzato da qualche stato, e mentre tutti gli indizi portano al Regno Unito, almeno al momento la matrice non sembra essere chiara.
Ad essere colpiti al momento sarebbero circa 100 persone, incluse istituzioni governative che provengono da Afghanistan, Iraq, Giordania, Kenya, Libia e Turchia. Proprio tali indicazioni lasciano intendere che uno dei paesi come Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti potrebbe utilizzare il malware per tenere sott'occhio le nazioni collegate al terrorismo.
MirkoTik, comunque, dovrebbe rilasciare a breve degli aggiornamenti per correggere la falla.
FONTE: Engadget
Rimani aggiornato seguendoci su Google News!
Unisciti all'orda: la chat telegramper parlare di videogiochi
Altri contenuti per Il Mondo della Tecnologia
- La spesa per PC, tablet e smartphone calerà nel 2023: le previsioni degli analisti
- Il 2023 è arrivato: 3 questioni Tech con cui avremo a che fare
- Spirano venti di cambiamento: 3 questioni che hanno afflitto il mondo Tech nel 2022
- Synology presenta nuove soluzioni IT aziendali, da router WRX560 a videocamere 500 Series
- 2022 in negativo per PC e tablet: secondo esperti ci sarà nuovo calo vendite
Il Mondo della Tecnologia
Contenuti più Letti
- I tre smartphone Xiaomi migliori per fare foto sensazionali: ecco perché
- 1 commentiCome faccio a sapere se nella mia zona c'è la fibra? Le nuove mappe per FTTH ed FWA
- Follia Samsung Galaxy S24 Ultra: coupon Amazon ABBATTE IL PREZZO
- 1 commentiCosa cambia tra Kindle e Kobo? Tutte le principali differenze
- 2 commentiBoston Dynamics sorprende tutti: il nuovo robot Atlas si alza da solo!
- Qual è la città al mondo dove si consuma più vino? Si trova in Italia
- Bimba e padre scoprono il fossile dell'ittiosauro più grande della storia: è record
- Questo frutto sta per diventare un nuovo 'super-cibo'? Vediamo perché
- 1 commentiMolti husky vengono abbandonati per questa tristissima ragione
- Questo nuovo sottomarino potrebbe rivoluzionare la guerra marina