示意圖,與新聞事件無關。

卡巴斯基實驗室(Kaspersky Lab)上周揭露一自2012年就開始活動的間諜行動Slingshot,這是一個非常靈活且運作良好的攻擊行動,且一直到今年才被發現,迄今已有接近100名受害者,目前看來集中在中東與非洲地區。

根據該實驗室的分析,駭客是藉由入侵MikroTik路由器再駭進許多受害者電腦,一般而言,路由器會下載與執行各種DDL檔案,駭客則在某個合法的DDL檔案中嵌入惡意DDL,此一DDL之後會再陸續下載其它存放於路由器上的惡意檔案。

Slingshot是在核心模式執行惡意檔案,而且會搜尋電腦上有漏洞的驅動程式來寄居,使其不被系統更新所影響。它有兩個主要程式,一是名為Cahnadr的核心模式模組,能於核心模式中運作,賦予駭客完整的權限,且在執行時不會造成藍屏,另一個則是GollumApp使用模式模組,內含近1,500種功能。

在上述兩個模組的協同運作下,駭客將能蒐集受害者的螢幕截圖、鍵盤輸入資料、網路資料、密碼、桌面活動、前貼簿或其他使用者行為,而且完全沒有開採任何的零時差漏洞。

Slingshot真正危險之處在於它運用了許多技倆來躲避偵測,甚至會在察覺到系統正進行鑑識研究時關閉惡意元件,還在硬碟中使用了自己的加密檔案系統。

研究人員指出,Slingshot行動非常高明,從技術上來看它以非常妥善的方式解決了所有的問題,深思熟慮地結合了各種新、舊元件並著眼於長期運作,應出自資源豐富且能力高強的駭客之手,它既靈活又可靠,還能有效防範偵測,無怪乎會到6年後才被發現。

MikroTik已在接獲通知後修補了該問題,值得注意的是,研究人員相信Slingshot行動應該也利用了其它品牌的路由器。


Advertisement

更多 iThome相關內容