Bijak hacker menyerang Timur Tengah dan Afrika melalui penghala

Computer Security News

Pakar Keselamatan makmal Kaspersky berjaga-jaga sekumpulan perisikan siber yang ahlinya telah menyerang pengguna di Timur Tengah dan Afrika melalui penghala mereka. Menurut para penyelidik, Kumpulan perisikan ini telah aktif sejak sekurang-kurangnya 2012, dan serangan yang paling terkini telah dikesan bulan lepas.

Kira-kira 100 lastik mangsa telah dikenal pasti setakat ini, sebahagian besar daripada mereka di Kenya dan Yaman, Walau bagaimanapun, Terdapat juga sasaran yang berdaftar di Afghanistan, Congo, Libya, Turki, Jordan, Sudan, Iraq, Tanzania dan Somalia.

Kempen malware secara amnya tertumpu kepada pengguna individu, walaupun para penyelidik juga telah dikesan serangan yang mensasarkan organisasi kerajaan serta beberapa kafe internet.

Sekeping utama malware yang digunakan oleh penggodam dipanggil lastik, dan pada gilirannya didasarkan pada dalaman tali yang ditemui oleh penganalisa Keselamatan. Perisian berniat jahat ini dikenali untuk menjangkiti komputer melalui penghala terjejas, khusus yang dibuat oleh Mikrotik, Persekutuan Rusia.

Pada masa ini, Terdapat tiada maklumat mengenai cara penghala yang disasarkan mendapat terjejas, Walau bagaimanapun, menurut Kaspersky pakar WikiLeaks Vault7 fail termasuk mengeksploitasi Mikrotik.

Penjual mengatakan bahawa mereka telah memperbaiki kelemahan yang melaksanakan dengan mengeksploitasi Vault7 dan ia adalah tidak jelas jika hacker kini menggunakan vektor yang awal.

Sebaik sahaja penyerang yang mendapat capaian ke router, mereka boleh menyalahgunakan sekeping perisian yang dinamakan WinBox sah-ini adalah alat pengurusan yang diberikan oleh Mikrotik yang memuat turun beberapa fail DLL daripada penghala dan beban mereka terus ke dalam memori lelaki PC.

Oleh menyalahgunakan fungsi yang disebutkan di atas, penjenayah lastik boleh menyampaikan perisian yang berniat jahat kepada pentadbir penghala yang disasarkan.

Pada dasarnya, malware yang merupakan pengisi pertama-peringkat yang menggantikan fail DLL sah dalam Windows dengan versi jahat yang mempunyai saiz yang sama. DLLs yang berniat jahat akan dimuatkan oleh proses services.exe, yang mempunyai keistimewaan sistem.

Modul-Modul utama yang dimuat turun oleh lastik dipanggil Cahnadr dan GollumApp. Cahnadr, juga dikenali sebagai Ndriver, adalah mod kernel muatan menyediakan keupayaan yang diperlukan oleh mod pengguna modul, termasuk anti-menyahpepijat, kefungsian rootkit, menyuntik modul dalam proses services.exe, rangkaian komunikasi, dan menghidu keupayaan untuk pelbagai protokol.

GollumApp adalah modul mod pengguna utama yang ditubuhkan untuk menguruskan modul mod pengguna lain semasa sentiasa berinteraksi dengan Cahnadr. Ia termasuk berbagai-bagai fungsi kepada mengintip membolehkan hacker untuk menangkap screenshot, log ketukan kekunci, mengumpul data sistem dan rangkaian, menuai kata laluan, memanipulasi data papan klip, jalankan proses dengan keistimewaan sistem dan menyuntik lain modul-modul yang berniat jahat kepada proses tertentu. Di samping itu, perisian berniat jahat yang membolehkan hacker mendapatkan kawalan penuh untuk komputer dijangkiti.

Lastik cuba untuk mengelakkan pengesanan dengan menggunakan kaedah yang berbeza, termasuk memanggil Perkhidmatan sistem secara langsung dalam usaha untuk memintas cangkuk produk Keselamatan, menyulitkan string dalam modul, dan proses yang mampu menyuntik bergantung kepada Apakah produk Keselamatan Terdapat.

Di samping itu, perisian berniat jahat yang menggajikan beberapa teknik canggih apabila ia datang kepada arahan dan kawalan (C & C) komunikasi – ia menyembunyikan trafik dalam protokol komunikasi sah, tetap mengawasi keluar bagi paket-paket yang mengandungi tanda khas.

Berdasarkan analisis tersebut setakat ini, makmal Kaspersky mendakwa bahawa ini adalah kempen perisikan siber ditaja oleh negara, dan tahap kecanggihan rivals tahap pelakon ancaman Regin dan ProjectSauron.


Leave a Reply

Your email address will not be published. Required fields are marked *