Scoperto un nuovo sofisticato malware che attacca i router

I ricercatori di sicurezza di Kaspersky Lab hanno scoperto quello che potrebbe a tutti gli effetti essere un altro ceppo di un malware sponsorizzato da qualche stato, con la differenza che risulta essere più avanzato di molti altri. Soprannominato Slingshot, il virus spia i PC attraverso un attacco multilivello che ha come obiettivo i router.

Ad essere interessati però sarebbero solo i router MikroTik.

Il codice sostituisce dapprima un file di libreria con una versione malevola che scarica altri componenti dannosi e quindi lancia un attacco sui computer. Uno, Canhadr, esegue un codice kernel di basso livello che dà effettivamente libero accesso all'intruso, incluso l'accesso allo storage ed alla memoria. L'altro, GollumApp, si concentra sul livello utente ed include il codice per coordinare gli sforzi, gestire il file system e mantenere vivo il malware.

Kaspersky descrive questi due elementi come dei veri e propri "capolavori" per diverse ragioni.

La prima è da ricercare nel fatto che non è un'impresa da poco eseguire codice del kernel senza crash. Slingshot memorizza anche i suoi file malware in un file system virtuale crittografato, crittografa ogni stringa di testo nei suoi moduli, esegui i servizi direttamente, e spegne le componenti anche quando gli strumenti di ricerca malware sono attivi. Se esiste un metodo comune per rilevare il malware o identificarne il comportamento, Slingshot con ogni probabilità ha qualche sistema di protezione. Ecco perchè per i ricercatori non rappresenta una sorpresa il fatto che il codice sia attivo dal 2012 e fino ad oggi nessuno ne fosse a conoscenza.

Nel rapporto si legge che il malware può realmente rubare tutto ciò che vuole, ed è in grado di intercettare anche gli input della tastiera, le password, le schermate, ed il traffico di rete. Non è chiaro come Slingshot entri nel sistema, oltre a sfruttare il software di gestione del router.

La combinazione di tutti questi elementi porta Kaspersky a credere che si tratti di un attacco sponsorizzato da qualche stato, e mentre tutti gli indizi portano al Regno Unito, almeno al momento la matrice non sembra essere chiara.

Ad essere colpiti al momento sarebbero circa 100 persone, incluse istituzioni governative che provengono da Afghanistan, Iraq, Giordania, Kenya, Libia e Turchia. Proprio tali indicazioni lasciano intendere che uno dei paesi come Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti potrebbe utilizzare il malware per tenere sott'occhio le nazioni collegate al terrorismo.

MirkoTik, comunque, dovrebbe rilasciare a breve degli aggiornamenti per correggere la falla.