Si chiama “Slingshot” ed è un malware che attacca i dispositivi in Medio Oriente e Nord Africa(MENA), infettando le vittime attraverso routers compromessi.
Lo hanno scoperto i ricercatori di sicurezza informatica di Kaspersky. Il Trojan è molto potente, tanto da riuscire ad acquisire il controllo totale del computer del bersaglio. Inoltre, può rubare qualunque cosa voglia dalla macchina su cui gira. E’ attivo almeno dal 2012 ed è stato usato finora per azioni di cyberwarfare, in particolare di spionaggio cibernetico. Su chi siano gli hacker dietro il codice malevolo c’è mistero assoluto. Molte delle tecniche usate fanno pensare gli esperti che possa essere un nuovo tipo di Advanced Persistent Threat (APT). Non sono esclusi, comunque, i sospetti che si possa trattare di un’operazione “false flag”. Azioni in cui si simulano TTP sconosciute o di gruppi diversi per confondere gli investigatori e far attribuire l’incidente ad altri soggetti.
Il Trojan può rubare di tutto, grazie all’accesso al kernel, e viene diffuso attraverso routers hackerati
I ricercatori di sicurezza informatica di Kaspersky sono, però, certi su una cosa. Slingshot è molto efficace nel cyber spionaggio e sa mimetizzarsi abilmente all’interno dei processi. Il malware è stato scoperto dopo che è stato rilevato un programma keylogger sospetto. A seguito di ciò, i cyber esperti hanno creato una “firma di rilevamento comportamentale”, uno strumento nato per identificare codici malevoli, al fine di vedere se questo apparisse da qualche altra parte. Da lì è stato scovato il file infetto, chiamato scersv.dll. Questo appariva legittimo, ma al suo interno era stato nascosto un codice. Chi ha lanciato il Trojan, lo ha fatto per pura cyberwarfare. E in particolare per condurre azioni di spionaggio informatico. Slingshot, infatti, sottrae screenshots, keyboard data, network data, passwords, connessioni USB e altro. Peraltro, tutte le vittime sono state infettate inizialmente da routers hackerati e grazie all’accesso al kernel, il programma può rubare di tutto.
Chi sono i Paesi di Medio Oriente e Nord Africa vittime della cyberwarfare
Slingshot ha già fatto numerose vittime in numerosi paesi. Si parla di almeno 100 sistemi infettati dal malware in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. Non è detto, però, che siano gli unici. Molte nazioni dell’area MENA, infatti, hanno scarse capacità di cybersecurity. Di conseguenza, difficilmente sono in grado di capire chi è stato colpito dai cyber attacchi, quando, come e soprattutto cosa è stato rubato grazie a Trojan così evoluti come questo.
Il post integrale di Kaspersky Lab con l’analisi del Trojan Slingshot