Con tutta probabilità, si tratta dell'opera di un'agenzia governativa che, nella prima metà di questo decennio, ha messo a punto una suite di spionaggio informatico tra le migliori mai viste sinora. Gli esperti di Kaspersky Lab, che per primi hanno rilevato l'attività criminale, l'hanno addirittura definito un capolavoro del cybercrime, tanto è potente e versatile. Insomma, nonostante sia rimasto per anni nell'ombra, Slingshot è riuscito già a guadagnarsi un posto nell'Olimpo dei malware più pericolosi di sempre.
Stando ai risultati presentati dalla software house russa specializzata in sicurezza informatica, gli esemplari di Slingshot trovati sinora sono contrassegnati come "versione 6.x". Tenendo conto della complessità di questo malware e dei lunghi tempi di sviluppo richiesti, è facile ipotizzare che sia stato realizzato molti anni fa. Secondo Kaspersky la prima versione della suite di strumenti di cyberspionaggio risalirebbe al 2012, ma nulla vieta di ipotizzare che la sua ideazione e realizzazione sia addirittura precedente.
Malware a due teste
Slingshot attacca le vittime sfruttando delle falle nel firmware di particolari router, sostituendo alcuni file di sistema con una loro versione infetta. Una volta che il router è compromesso, gli hacker sono in grado di scaricare il malware vero e proprio all'interno della memoria di tutti i computer connessi alla rete locale.
Slingshot, in particolare, si compone di due moduli: Canhadr e GollumApp. Il primo consente di avere accesso direttamente al kernel del sistema operativo e fornire istruzioni e comandi con privilegi di amministratore; il secondo consente di gestire il file system e altre operazioni necessarie per mantenere in vita il malware stesso ed evitare che venga rilevato da sistemi di sicurezza informatica. La combinazione di questi due moduli rende Slingshot indistruttibile, o quasi: operando a livello di kernel, il malware per il cyberspionaggio passa di fatto inosservato agli occhi di antivirus e antimalware, mentre sfrutta la crittografia per evitare che le sue componenti possano essere rilevate.
A questo si unisce una modalità operativa quanto meno singolare. Solitamente, malware di questo genere sono gestiti tramite indirizzi di comando e controllo (C&C) predefiniti e "fissi". Un elemento, quest'ultimo, sfruttato da diversi strumenti di analisi forense e cybersecurity per rilevare attività anomale e malevole. Per evitare che ciò potesse accadere, i creatori di Slingshot non hanno creato un indirizzo C&C univoco, ma un indirizzo dinamico che può essere ricavato dall'analisi dei pacchetti dati che transitano dal router. Una volta individuato, Slingshot crea una connessione crittografata (una sorta di VPN), dando così il via al monitoraggio dell'attività delle macchine infette.
A cosa serve Slingshot
Viste le sue caratteristiche e le sue modalità operative, Slingshot è tra i miglior strumenti di cyberspionaggio che siano mai stati creati (o, quanto meno, scoperti) sinora. Una volta che infetta un computer, il malware può essere utilizzato per monitorare l'attività online, catturare screenshot, registrare i tasti premuti sulla tastiera, connessioni USB, altre attività del desktop, dati degli appunti e molto altro. Grazie all'accesso al kernel e i privilegi da amministratore, infatti, Slingshot può monitorare qualsiasi attività dell'utente e trafugare ogni tipo di dati.
Dove ha colpito Slingshot
Da una prima e parziale analisi, Slingshot sembra aver colpito principalmente utenti africani e mediorientali. I ricercatori di Kaspersky, infatti, hanno trovato computer infetti in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. La gran parte delle vittime (un centinaio in totale, ma l'analisi potrebbe essere parziale) sono normali internauti, anche se nell'elenco sono incluse anche alcune imprese e organizzazioni governative.
12 marzo 2018