Les chercheurs de Kaspersky Lab révèlent un malware Slingshot, présent dans les routeurs Mikrotik compromis fonctionne à la fois en mode kernel et en mode utilisateur.
Les chercheurs en sécurité de Kaspersky Lab ont découvert ce qui est susceptible d’être une autre variété de malware sponsorisée par un état, et celle-ci est plus avancée que la plupart des autres. Surnommé Slingshot, le code espionne les PC grâce à une attaque multicouche ciblant les routeurs MikroTik. Il remplace d’abord un fichier de bibliothèque par une version malveillante qui télécharge d’autres composants malveillants, puis lance une attaque astucieuse à deux volets sur les ordinateurs eux-mêmes. L’un, Canhadr,s’attaque au noyau du système d’exploitation (kernel) qui permet à un tiers d’accéder à la mémoire vive et à la mémoire de stockage de l’ordinateur; l’autre, GollumApp, se concentre sur le niveau de l’utilisateur et inclut du code pour coordonner les efforts, gérer le système de fichiers et maintenir le malware en vie.
Kaspersky décrit ces deux éléments comme des «chefs-d’œuvre», et pour de bonnes raisons. Pour commencer, il n’est pas difficile d’exécuter du code hostile sans crash. Slingshot stocke également ses fichiers malveillants dans un système de fichiers virtuel crypté chaque chaîne de texte est cryptée dans ses modules, appelle directement les services (pour éviter de déclencher des contrôles de sécurité) et ferme même les composants lorsque les outils médico-légaux sont actifs. S’il existe une méthode commune de détection de logiciels malveillants ou d’identification de son comportement, Slingshot a probablement une défense contre cela. Il n’est pas étonnant que le code ait été actif depuis au moins 2012, sans que personne ne s’en rende compte.
Le logiciel malveillant peut efficacement voler ce qu’il veut, y compris les frappes sur le clavier, le trafic réseau, les mots de passe et les captures d’écran. Il n’est pas certain comment Slingshot entre dans un système en plus de tirer parti du logiciel de gestion de routeur, mais Kaspersky a souligné « plusieurs » instances.
La combinaison de cette sophistication et du focus sur l’espionnage a conduit Kaspersky à penser qu’il est probablement la création d’une agence d’Etat, en concurrence avec le malware GCHQ de Regin utilisé pour espionner le transporteur belge Belgacom. Et tandis que les indices de texte suggèrent que les anglophones pourraient être responsables, cela reste difficile de trouver le coupable. Un peu moins de 100 individus, organisations gouvernementales et institutions ont été la proie de Slingshot dans des pays comme l’Afghanistan, l’Irak, la Jordanie, le Kenya, la Libye et la Turquie. Ce pourrait être l’un des pays du Groupe des cinq par la Défense canadienne (Australie, Canada, Nouvelle-Zélande, Royaume-Uni et États-Unis) qui surveille les pays confrontés à d’importants problèmes de terrorisme, mais c’est loin d’être certain.
Slingshot devrait être corrigé à partir des mises à jour récentes du firmware du routeur MikroTik. La préoccupation, comme vous pouvez le deviner, est que d’autres fabricants de routeur pourraient être affectés. Si tel est le cas, il est possible que Slingshot ait une portée beaucoup plus large et dérobe toujours de données sensibles.
