Slingshot si dimostra un attacco complesso, ben studiato e indiscutibilmente efficiente. Porta con sé il sesto anno di attività indisturbata, una lunga e ponderata attività di sviluppo e intrinsecamente, la richiesta di un apporto finanziario in termini di ricerca e sviluppo.
In un documento pubblicato il 9 Marzo 2018 da Kaspersky lab, emerge quella che sembrerebbe essere un’operazione di cyberspionaggio. Durante l’analisi di un sistema affetto da keylogger, gli analisti Kaspersky hanno identificato un malware – ribattezzato Slingshot – che ha lo scopo di raccogliere schermate, dati della tastiera, dati di rete, password, connessioni USB, dati degli appunti, spingendosi sino al kernel, permettendo in questo modo il pieno controllo della macchina vittima.
Caratteristica interessante del malware è l’implementazione di una serie di tecniche avanzate atte a scongiurarne il suo rilevamento:
come ad esempio l’utilizzo di crittografia o tecniche di antidebug.
La versione del software analizzata risulterebbe essere la “6.x”, lasciando intendere che il software sia arrivato alla sua sesta release di sviluppo e suggerendo in tal modo che la minaccia esiste da diverso tempo. I ricercatori fanno risalire l’attività al 2012 non venendo – sino a febbraio 2018 – mai identificata.
Costi di sviluppo, pianificazione delle release, costi di creazione dei tools implementanti, sono solo alcuni degli indizi che lasciano intendere come il gruppo dietro Slingshot sia ben organizzato e con un certo livello di professionalità ed expertise, ciò che generalmente è presente nei gruppi State- Sponsored.
L’area di operatività del malware è stata individuata in Africa e Medio Oriente. Nello specifico: Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. Gli account più colpiti: Kenya e Yemen.
Un’analisi tecnica
Sulla base dei casi analizzati da Kaspersky Lab, la maggior parte di essi ha avuto come vettore d’attacco i routers marchiati Mitrokit, azienda di apparati di networking lettone. Tale società mette a disposizione dell’utente una suite software per la gestione del router chiamato Winbox; quest’ultimo presenta una feature particolare: scarica una serie di DLL dal file system del router e le carica direttamente sulla memoria del computer. Questo ha permesso agli attaccanti di iniettare una dll infetta sul router della vittima cosicché Winbox, scaricata tale dll sul computer, ha proceduto al suo avvio. Ip4.dll, dll iniettata nel router, è un trojan-downloader – identificato anche come chmhlpr.dll – che instaura una connessione per scaricare un pacchetto malevolo. Inoltre, nei test Kaspersky, il downloader in questione ha l’ulteriore caratteristica di utilizzare un proxy.
Fra le dll scaricate, gli analisti Kaspersky hanno denominato Slingshot la dll chiamata scesrv.dll, apparentemente legittima in quanto presenta lo stesso nome di una dll di sistema normalmente presente nella directory system32, ma che in realtà si tratta di una dll malevola. Nello specifico, la “vera” scesrv.dll viene sostituita da una dll malevola con lo stesso nome e con la stessa esatta grandezza. Slingshot, sfruttando alcuni loader, esegue una serie di moduli. Due in particolare sono importanti: Cahnadr e GollumApp. Il modulo Cahnadr agisce in kernel mode. Agire sul kernel significa di fatto prendere il pieno controllo della macchina.
Tale modulo presenta una serie di features, fra cui:
– attività di anti-bug e check per capire se il kernel è pachato
oppure no;
– manipolazione dei servizi di sistema per nascondere le attività
malevoli;
– azioni di rootkit per nascondere il traffico di rete;
– iniezione del payload in user-mode direttamente in services.exe;
– comunicazione via network;
– comunicazione e coordinamento col payload GollumApp;
– monitoraggio di tutti i devices sulla rete;
– f u n z i o n a l i t à d i s n i f f i n g p e r i p r o t o c o l l i
ARP,TCP,UDP,DNS,ICMP,HTTP.
Il modulo GollumApp è il principale payload in user-mode. Viene inizialmente iniettato nel processo services.exe in un thread separato. Sinteticamente, questo modulo permette di raccogliere qualsiasi informazione relativa all’utente. Alcune sue funzionalità riguardano:
– raccolta di informazioni relative alla rete: tabelle di routing,
configurazioni, informazioni sul proxy server ecc;
– raccolta delle notifiche relative a tutti i cambiamenti sulla
tabella di routing e/o cambiamenti sull’indirizzo ip;
– raccolta di tutte le password salvate in Firefox o Internet
Explorer;
– log di tutti i tasti premuti;
– raccolta informazioni relative alle partizioni dell’hard disk;
– raccolta informazioni sulle chiavette USB e notifica quando un
nuove device è collegato;
– può avviare un nuovo processo con privilegi di sistema;
– iniezione di moduli malevoli in processi specifici.
Slingshot si dimostra un attacco complesso, ben studiato e indiscutibilmente efficiente. Porta con sé il sesto anno di attività indisturbata, una lunga e ponderata attività di sviluppo e intrinsecamente, la richiesta di un apporto finanziario in termini di ricerca e sviluppo.
Quale gruppo può aver sviluppato un’arma di tale portata e a quale scopo?
La logica costi/benefici richiede che un progetto di questo tipo debba avere un target proporzionale agli sforzi impiegati.
La conclusione dell’analisi di Kaspersky parla di una “ben oleata” operazione di cyber spionaggio che tuttavia, a causa della ridotta telemetria a disposizione, non offre dati certi sulla possibile effettiva estensione territoriale di attività.
Inoltre, le tecniche utilizzate sono state precedentemente identificate in operazioni attribuite all’Equation Group, fantomatico team elite appartenente alla National Security Agency, come nel caso dell’operazione GRAYFISH.
Il 20 marzo 2018, il sito CyberScoop afferma che Slingshot si inserisce all’interno di attività di counterterrorism cyberespionage.
Nello specifico, il sito attesta come propria fonte un ufficiale intelligence secondo cui l’operazione sarebbe un’attività di targeting di membri di Al Qaeda e dell’ISIS. Slingshot sarebbe un programma dell’esercito americano gestito dal Joint Special Operations Command, una componente del Commando Operazioni Speciali (SOCOM).
Secondo la fonte, Slingshot permette all’esercito americano e all’intelligence community di collezionare informazioni relative
ai terroristi attraverso l’infezione dei loro computers. Per questo, l’analisi Kaspersky costituirebbe un disclosure che avrebbe messo in difficoltà tutta l’operazione e ancor di più, porterebbe ad un rischio per le vite dei soldati.
In un documento, risalente al 17-1-2015, viene descritto un progetto NSA con lo scopo di creare una “pipeline” di accesso
persistente ai dati al fine di estrapolare costantemente informazioni dai computers vittima. Il documento menziona proprio
uno dei moduli facenti parte di Slingshot: Gollum.
Inoltre, all’interno dell’enorme quantità di dati leakati da Wikileaks nella sua pubblicazione Vault 7, si trova un documento
risalente anch’esso al 2015 in cui viene menzionato l’interesse per la CIA nella compromissione di apparati Mikrotik. Prodotto
molto popolare in Medio Oriente e nel Sud Est Asiatico. Il gruppo in questione – particolarmente vicino alla CIA – prende il nome di
Longhorn e sarebbe operativo sin dal 2011.
Conclusione
I dati esposti relativi al funzionamento del malware e alla sua area di operatività, nonché le notizie raccolte e i documenti
leakati appartenenti alle varie agenzie di intelligence americane, fanno propendere alla conclusione per cui Slingshot sarebbe un
tool sviluppato dalle agenzie di intelligence USA che, nella lunga campagna di contrasto e prevenzione al terrorismo, hanno creato un
malware atto all’esfiltrazione di informazioni utili per mappare i network di terroristi, nonché raccogliere informazioni di
navigazione (es. routing tables), materiale presente negli hard disk/pendrive e ogni altra attività avvenuta per mezzo di
computers (es. keylogger).
Ulteriore elemento a reiterare tale possibilità proviene da quanto affermato dal direttore della ricerca Kaspersky, Costin Raiu,
secondo cui i router Mikrotik sono particolarmente popolari nel mondo dello sviluppo, dove gli internet caffè rimangono il punto
di incontro abituale. I target su cui Kaspersky ha effettuato la sua ricerca facevano parte di reti informatiche al cui interno
erano presenti dozzine di macchine.
Per questo, benché i computers analizzati avessero delle licenze utente home, erano collegati a reti di grandi dimensioni e ciò
pone la domanda: chi ha 30 computers a casa collegati alla rete?
Per tale motivo, i routers attaccati non apparterebbero tutti a degli internet caffè, molti tuttavia lo sono.La scelta di usare un vettore d’attacco come Mikrotik è congeniale per la sua grande diffusione nelle area territoriale di attività
di Slingshot, permettendo in questo modo di intercettare quanto più flusso di informazioni possibili e allo stesso modo, colpire
gli internet caffè, luogo spesso utilizzati dai terroristi come strumento per ridurre le possibilità di tracciamento online.
Articolo di Daniele Algisi
© Riproduzione riservata
