Cyberespionnage : Slingshot cible des victimes via des routeurs

Le par  |  0 commentaire(s)
numerique

Actif depuis au moins six ans, le malware Slingshot s'appuie sur des routeurs compromis pour infecter l'administrateur et permettre de mener du cyberespionnage.

Présent depuis 2012, le malware baptisé Slingshot a su se faire très discret jusqu'à présent. Une petite centaine de victimes au compteur pour ce qui relève d'une campagne de cyberespionnage, avec des cibles essentiellement au Moyen-Orient et en Afrique.

Kaspersky-Lab-Slingshot-1
Les chercheurs de Kaspersky Lab ont découvert plusieurs cas où les attaquants ont eu accès à des routeurs du fabricant MikroTik pour y placer une bibliothèque logicielle malveillante (DLL), et servant à télécharger d'autres modules du malware.

La plupart des victimes auraient ainsi été infectées par des routeurs MikroTik compromis, un vecteur d'attaque atypique, ou un exploit Windows. Slingshot recueille " des copies d'écran, des frappes clavier, des données réseau, des mots de passe, des connexions USB et autres activités du poste, le contenu du presse-papiers… "

Kaspersky Lab ajoute qu'un accès au noyau lui permet néanmoins au final de " dérober tout ce qui l'intéresse. " En cause, deux outils sophistiqués et rapatriés qui portent les noms de Cahnadr et GollumApp.

Alors que GollumApp permet la persistance de l'attaque, l'exfiltration de données et assure l'infrastructure de communications, Cahnadr est un programme en mode noyau pour l'exécution de code malveillant.

Kaspersky-Lab-Slingshot-2
L'éditeur russe de solutions de sécurité a prévenu MikroTik, et souligne que MicroTik Winbox (un outil de gestion pour les routeurs) ne télécharge plus rien du routeur vers l'ordinateur de l'utilisateur. Toutefois, d'autres vecteurs d'attaque - et d'autres routeurs - sont probables.

On l'aura compris, Kaspersky Lab suppose que derrière Slingshot, il se cache un groupe soutenu par un État.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme