La APT Slingshot, ciberespionaje a través del router

Nuestros expertos analizan una de las campañas de APT más sofisticadas que hemos visto

Una de las revelaciones más importantes de nuestros investigadores en el Kaspersky Security Analyst Summit (SAS) de este año ha sido el anuncio de una campaña de ciberespionaje sofisticada llamada Slingshot.

Vector de ataque

Pero primero, ¿cuáles son los medios de infección? La particularidad de este vector de ataque inicial es que, según nuestra investigación, muchas víctimas recibieron el ataque después de haber instalado routers comprometidos del proveedor Mikrotik. Los ciberdelincuentes encontraron la forma de comprometer los dispositivos y convertirlos en troyanos, aprovechándose de la utilidad de configuración y obligándolos a descargar y ejecutar varios archivos DLL directamente desde el router, uno de ellos sería una descarga de varios archivos maliciosos, almacenados también en este dispositivo.

Cabe decir que informamos de la situación al fabricante y Mikrotik ya casi lo ha solucionado. Sin embargo, nuestros expertos creen que Slingshot podría estar usando otras marcas y, por tanto, puede que haya otros dispositivos comprometidos.

Otra peculiaridad sobre Slingshot es la ejecución de malware en modo kernel. En sistemas operativos actualizados, esto era casi imposible, pero este malware primero descargaba drivers vulnerables firmados y solo entonces ejecutaba su propio código.

Instrumentos maliciosos

En el malware Slingshot se encontraron dos obras maestras: una unidad en modo kernel llamada Cahnadr y otra en modo de usuario, GollumApp.

Mediante la ejecución del código kernel, Cahnadr concede el control absoluto del ordenador infectado a los atacantes. Además, a excepción de la mayoría de malware que intenta funcionar en modo kernel, puede ejecutar código sin hacer caer el sistema de archivos ni generar una pantalla azul. El segundo programa, GollumApp, es más sofisticado, contiene cerca de 1.500 funciones de código de usuario.

Gracias a estas unidades, Slingshot puede recopilar capturas de pantalla, datos de teclado y de red, contraseñas, actividad de escritorio, portapapeles y mucho más. Y todo esto sin aprovecharse de vulnerabilidades de día cero. Al menos, nuestros expertos no han encontrado evidencias de que Slingshot las use de momento.

Mecanismo para prevenir la detección

Lo que hace tan peligroso a Slingshot es la gran cantidad de tácticas que posee para evitar su detección; de hecho, puede llegar a cerrar sus componentes si detecta algún tipo de investigación forense. Además, Slingshot hace uso de su propio sistema de cifrado de archivos en una zona que el disco duro no utiliza. En Securelist encontrarás más información técnica.

Cómo lidiar con una APT como Slingshot

Si usas un router Mikrotik y el software de gestión Winbox, descarga la última versión del programa y asegúrate de que el router esté actualizado según la última versión de su sistema operativo. No obstante, las actualizaciones te protegen solo de un vector de ataque, pero no de la APT en sí.

Para proteger tu negocio de los ataques dirigidos sofisticados, implementa un enfoque estratégico. Ponemos a tu disposición Threat Management and Defense Platform, que cuenta con Kaspersky Anti Targeted Attack Platform, nuestra nueva solución Kaspersky Endpoint Detection and Response, y servicios de expertos.

Kaspersky Anti Targeted Attack te permite encontrar anomalías en el tráfico de la red, aislar procesos sospechosos y buscar correlaciones entre sucesos. Kaspersky Endpoint Detection and Response sirve para agregar y visualizar los datos recopilados. Y, gracias a nuestros expertos, puedes recibir ayuda en cualquier momento en caso de incidente, formar al personal de tu centro de control y concienciar a los empleados de tu compañía. Si quieres más información sobre esta solución, haz clic aquí.

Consejos