Un nuevo malware sigiloso o software malicioso que se ha utilizado para realizar el ciberespionaje sin ser detectado durante seis años se trata de Slingshot, un software que ataca directamente al router de los servicios.
Debería levantar una bandera roja para todas las empresas, dicen expertos de seguridad digital y prevención.
El malware o software malicioso, denominado como “Slingshot” por los investigadores de seguridad de Kaspersky Lab, quienes fueron los que lo descubrieron. Ataca e infecta a las víctimas a través de enrutadores o routers MicroTik comprometidos y puede ejecutarse en modo kernel.
Esto otorga un control total sobre los dispositivos de las víctimas al hacker.
Según los investigadores, muchas de las técnicas utilizadas por este actor de amenazas o software malicioso son únicas. Lo que hace que Slingshot sea extremadamente eficaz en la recopilación de información sigilosa, ya que oculta su tráfico en paquetes de datos marcados que puede interceptar de las comunicaciones diarias sin dejar rastros.
Contenidos de esta página
Este nuevo software malicioso Slingshot infecta a routers para llegar al núcleo de un equipo
La operación Slingshot fue descubierta luego de que los investigadores encontraran un programa sospechoso de captura de teclas y crearan una firma de detección de comportamiento para ver si ese código aparecía en otro lugar. Esto condujo al descubrimiento de un archivo sospechoso dentro de una carpeta del sistema llamada scesrv.dll. Y el análisis del archivo mostró que, a pesar de parecer legítimo, el módulo scesrv.dll tenía código malicioso incrustado en él.
Debido a que esta biblioteca está cargada por «services.exe», un proceso que tiene privilegios de sistema, la biblioteca envenenada obtuvo los mismos derechos. Lo que permite que un intruso altamente avanzado ingrese en el núcleo mismo de la computadora.
Investigaciones posteriores revelaron, que las víctimas habían sido infectadas a través de enrutadores (routers). Estos habían sido comprometidos a través de una biblioteca de enlaces dinámicos maliciosos por este software malicioso dentro de ellos, que era un programa de descarga de componentes maliciosos.
El software de administración del router, descarga y ejecuta el módulo malicioso cuando un administrador inicia sesión para configurar el enrutador comprometido, dijeron los investigadores. Pero el método utilizado para comprometer los routers MicroTik en primer lugar sigue siendo desconocido.
Después de la infección de la computadora del administrador, Slingshot carga una serie de módulos, incluidos Cahnadr y GollumApp, que están conectados y son capaces de apoyarse mutuamente en la recopilación de información, la persistencia y la filtración de datos, hallaron los investigadores.
Espionaje cibernético con Slingshot
El propósito principal de software malicioso “Slingshot”, dijeron, parece ser el espionaje cibernético. Porque recopila capturas de pantalla, datos de teclado, datos de red, contraseñas, conexiones USB, otras actividades de escritorio, datos del portapapeles y más. El acceso del kernel al malware significa que puede robar lo que quiera, dijeron los investigadores.
La amenaza avanzada y persistente (APT) también incorpora una serie de técnicas para ayudarlo a evadir la detección. Incluido encriptar todas las cadenas en sus módulos, usar una serie de técnicas anti-depuración y seleccionar qué proceso inyectar . Esto dependiendo de qué controles de seguridad se encuentren.
El software malicioso Slingshot está diseñado para funcionar como una «puerta trasera pasiva», dijeron los investigadores, porque no tiene una dirección de comando y control codificada (C & C). Pero la obtiene del operador interceptando todos los paquetes de red en modo kernel y verificando si hay dos «constantes mágicas» codificadas en el encabezado. Si este es el caso, significa que el paquete contiene la dirección de C & C.
Después de eso, Slingshot establece un canal de comunicación cifrado para el C & C y comienza a transmitir datos para su exfiltración, dijeron los investigadores.
Este software malicioso una amenaza tecnológica sofisticada
El tiempo de desarrollo, habilidad y costo involucrados en la creación del conjunto de herramientas complejo de Slingshot es probable que haya sido extremadamente alto, indicaron los investigadores. Lo que indica que el grupo detrás de Slingshot es muy organizado, profesional y probablemente patrocinado por el estado.
Las pistas de texto en el código sugieren que el grupo detrás de Slingshot habla inglés. Pero los investigadores observan que la atribución precisa siempre es difícil, si no imposible de determinar, y cada vez más propensa a la manipulación y el error.
«Slingshot es una amenaza sofisticada, que emplea una amplia gama de herramientas y técnicas. Incluidos los módulos de modo kernel que, hasta la fecha, solo se han visto en los depredadores más avanzados». Indicó Alexey Shulmin, analista líder de malware en Kaspersky Lab. «La funcionalidad es muy valiosa y rentable para los atacantes. Lo que podría explicar por qué ha existido durante al menos seis años».
Aunque los investigadores solo han visto alrededor de 100 víctimas de Slingshot y sus módulos relacionados, y la mayoría de ellos parecen ser personas específicas. Las empresas deben tomar nota y tomar precauciones, dicen los expertos de seguridad. «Las conexiones domésticas y los usuarios suelen ofrecer una defensa baja y, como resultado, los delincuentes los atacarán en casa», dijo Matt Walmsley. Director para Europa, Medio Oriente y África de la firma de seguridad Vectra.
«Dejar una APT a los usuarios en el hogar los llevará directamente a una organización, haciendo que pasen inocentemente a la PC comprometida al entorno de trabajo. Pasando por alto todas las defensas del perímetro.
Las empresas deben tomar nota y tomar medidas preventivas con este software malicioso moderno
«La movilidad y BYOD traen riesgos que requieren la rápida detección y respuesta a los sutiles indicadores de compromiso dentro de la red corporativa.
La mayoría de las organizaciones tienen defensas perimetrales y algún tipo de punto final de antivirus en sus PC corporativamente controladas. Sin embargo, muchas organizaciones permanecen ciegas a la actividad nefasta que está sucediendo en su red interna. Esto a medida que los atacantes organizan, reconocían, mueven, escalan privilegios y roban o manipulan datos».
El hecho de que Slingshot sea una campaña de seis años, muestra que la brecha de detección de amenazas está viva y bien. Particularmente para ataques avanzados, dijo Walmsley.
A pesar de que los enfoques tradicionales basados en firmas son inútiles para detectar amenazas nunca vistas y desconocidas. Existen múltiples formas de detectar APT que antes no se veían, dijo.
Enfoque basado en el comportamiento
«Se requiere un enfoque basado en el comportamiento para detectar las señales de compromiso muy débiles que identifican la actividad de los atacantes posteriores a la intrusión dentro de la red. Pero esto puede ser laborioso y lento, y ofrece resultados pobres si se realiza manualmente», dijo.
«Las empresas que reconocen esta ‘brecha de detección’. Se están moviendo cada vez más a herramientas automatizadas de búsqueda de amenazas que pueden operar de manera autónoma. Al usar Inteligencia Artificial [AI], las empresas pueden detectar el comportamiento del atacante oculto, correlacionar y proporcionar evidencia. Así como también extraer el contexto del ataque e integrarlo en el flujo de trabajo de respuesta a incidentes de seguridad para automatizar algunas o todas las acciones de respuesta.
«En este aspecto, AI puede liberar el tiempo de los analistas de seguridad para tomar decisiones rápidas e informadas al tiempo que permite una respuesta ágil a las amenazas activas. Reduciendo el tiempo de permanencia de los atacantes y, en última instancia, el riesgo comercial».
Walmsley agregó. «Cualquier defensa es imperfecta. Es por eso por lo que las empresas necesitan desarrollar sus capacidades de detección y respuesta. Y con esta forma, garantizar que tengan una arquitectura de seguridad adaptable que defienda contra lo que pueda».
Kaspersky Lab recomienda que:
- – Los usuarios de enrutadores MikroTik deben actualizar a la última versión de software tan pronto como sea posible.
- – Las empresas utilizan un sistema de seguridad de nivel corporativo comprobado. Esto en combinación con tecnologías de ataque contra objetivos y la inteligencia de amenazas.
- – Las organizaciones brindan al personal de seguridad acceso a los últimos datos de inteligencia sobre amenazas. Ya que los armarán con herramientas útiles para la investigación y prevención de ataques dirigidos.
- – Si las empresas detectan indicadores tempranos de un ataque dirigido, consideran que los servicios de protección administrada detectan amenazas avanzadas. Pueden ayudar a reducir el tiempo de permanencia y permiten una respuesta oportuna a los incidentes.
Fuente: computerweekly.com
Sigue lee estas recomendaciones que tenemos para ti:
- Prilex: el malware que roba datos de tarjetas protegidas
- Equifax sufrió una nueva amenaza a su seguridad
- Innovación biométrica: Así Easy Solutions combatirá el fraude bancario