卡巴斯基揭發一精心藏匿6年的間諜行動Slingshot

卡巴斯基實驗室（Kaspersky Lab）上周揭露一自2012年就開始活動的間諜行動Slingshot，這是一個非常靈活且運作良好的攻擊行動，且一直到今年才被發現，迄今已有接近100名受害者，目前看來集中在中東與非洲地區。

根據該實驗室的分析，駭客是藉由入侵MikroTik路由器再駭進許多受害者電腦，一般而言，路由器會下載與執行各種DDL檔案，駭客則在某個合法的DDL檔案中嵌入惡意DDL，此一DDL之後會再陸續下載其它存放於路由器上的惡意檔案。

Slingshot是在核心模式執行惡意檔案，而且會搜尋電腦上有漏洞的驅動程式來寄居，使其不被系統更新所影響。它有兩個主要程式，一是名為Cahnadr的核心模式模組，能於核心模式中運作，賦予駭客完整的權限，且在執行時不會造成藍屏，另一個則是GollumApp使用模式模組，內含近1,500種功能。

在上述兩個模組的協同運作下，駭客將能蒐集受害者的螢幕截圖、鍵盤輸入資料、網路資料、密碼、桌面活動、前貼簿或其他使用者行為，而且完全沒有開採任何的零時差漏洞。

Slingshot真正危險之處在於它運用了許多技倆來躲避偵測，甚至會在察覺到系統正進行鑑識研究時關閉惡意元件，還在硬碟中使用了自己的加密檔案系統。

研究人員指出，Slingshot行動非常高明，從技術上來看它以非常妥善的方式解決了所有的問題，深思熟慮地結合了各種新、舊元件並著眼於長期運作，應出自資源豐富且能力高強的駭客之手，它既靈活又可靠，還能有效防範偵測，無怪乎會到6年後才被發現。

MikroTik已在接獲通知後修補了該問題，值得注意的是，研究人員相信Slingshot行動應該也利用了其它品牌的路由器。