一般来说扣掉有“国家力量”在背后的恶意程式,恶意程式通常来得又急又快,造成的影响很大且目标明确,像是窃取金钱。但最近卡巴斯基实验室发现的恶意程式,行迹实在太隐密了,花了 6 年时间才被找出来,可说是罕见静悄悄的恶意程式,很可能是国家在背后资助。
这支恶意程式 Slingshot,被形容是目前发现最先进的攻击平台,比起先前侵入比利时电信的 Regin,或也被怀疑是国家力量 Sauron,可说毫不逊色。通常只有富有的国家,才有资源开发如此强大的恶意程式。
卡巴斯基的报告指出,Slingshot 由不同组件构成,构成相当有弹性,且是运作良好的网络间谍情报工具。卡巴斯基 25 页的报告还称赞 Slingshot 不只以技术角度解决遇到的问题,还用相当精巧的方式,整合新旧不同元件,顺利圆满达成潜伏目的。
Slingshot 在全球感染至少 100 台电脑,研究者仍搞不清础 Slngshot 最初是怎么感染这些目标。然而在一些案例中,Slingshot 能进入拉脱维亚制造商 MikroTik 的路由器,之后植入恶意程式码。Slingshot 借由取代动态连结函式库档案,完成初步的攻击。
▲ Slingshot 侵入的模式图。(Source:卡巴斯基)
Slingshot 完成初步的入侵之后,即会与远端的控制中心连线,这时候 Slingshot 才会下载主要元件。Slingshot 的最大两个元件是 Cahnadr 和 GollumApp,担负重要功能。前者能在 kernal 模式执行,避免当机或蓝屏幕,后者相当巨大,快要 1,500 行程式码,提供档案存取、C&C 通讯等功能。
卡巴斯基实验室认为 Slingshot 设计的目的是拿来进行特工活动,记录键盘行为和剪贴簿内容。由于 Slingshot 能在 kernal 模式运行,意味电脑的硬件,如硬盘、内存都能存取。目前 Slingshot 感染的电脑集中在肯亚和也门,但在阿富汗、利比亚、刚果等地也有发现。受害者看来是被单独针对,而非因为特定组织而被锁定。
▲ 目前发现感染 Slingshot 的地区分布状况。(Source:卡巴斯基)
卡巴斯基还发现开发者是用英文撰写,尽管卡巴斯基并未试图找出背后的开发者,但看来 Slingshot 是国家力量在背后支援。
- Potent malware that hid for six years spread through routers
- Malicious six-year-old ‘Slingshot’ malware campaign found lurking in routers
- Sophisticated malware attacks through routers
(首图来源:pixabay)