r   e   k   l   a   m   a
reklama

Popularne routery zarażały Windowsa: rośnie rozmach szpiegowskich operacji

Strona główna Aktualności
RouterBOARD 750 z punktem dostępowym: popularny sprzęt Mikrotika (źródło Wikimedia, licencja CC BY-SA 4.0)

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Ataki na routery to internetowa codzienność – te stale podłączone urządzenia są przecież pełne niezałatanych podatności, a ich przejęcie pozwala na ingerowanie w ruch sieciowy ofiary. Jak się jednak okazuje dzięki pracy badaczy Kaspersky Lab, można jednak pójść dalej. Ujawniona przez nich operacja Slingshot to spektakularne wykorzystanie routerów do zarażania i przejmowania pecetów w sieciach lokalnych. Co gorsza, chodzi o znane i cenione także i u nas routery łotewskiej firmy MikroTik.

W operacji Slingshot, która prowadzona miała być w tajemnicy przez przynajmniej sześć ostatnich lat, wykorzystano pewną nietypową właściwość łotewskich routerów. Podczas gdy większość innych producentów pozwala zarządzać swoimi routerami jedynie przez panele webowe, w ostateczności przez polecenia powłoki dostępne po SSH, sprzętem MikroTika można zarządzać za pomocą czegoś, co pamięta złote lata Microsoftu – aplikacji win32 o nazwie Winbox.

Ta niewielka aplikacja pozwala na zdalne administrowanie systemem operacyjnym routera (RouterOS) poprzez szybki i prosty interfejs, niewątpliwie szybszy niż te wszystkie konfiguracyjne strony internetowe. Wszystkie oferowane funkcje są zgodne z tym, co możliwe jest za pomocą konsoli, tak więc popularność Winboksa wśród użytkowników jest spora, tym bardziej, że jego instalacja przebiega bezpośrednio z routera – wystarczy wpisać w przeglądarce jego adres IP w sieci lokalnej i kliknąć odpowiedni link na stronie powitalnej webowego interfejsu RouterOS-a.

Napastnicy prowadzący operację Slingshot w jakiś sposób zdołali zainfekować te pliki instalacyjne Winboksa, aby za ich pomocą zarażać komputery pracujące pod kontrolą Windowsa. Podczas instalacji w systemie pojawiała się biblioteka .dll, której wywołanie przez aplikację staje się przyczółkiem dla dalszego ataku. Oprócz pobrania z serwerów producenta normalnych komponentów Winboksa, pobrane zostają też liczne moduły spyware, działające z normalnymi uprawnieniami użytkownika. To tzw. GollumApp, gromadzące hasła, informacje ze schowka, obraz z kamery, robiące zrzuty ekranowe czy śledzące urządzenia podłączane po USB.

To jednak nie wszystko. Na zainfekowanym systemie zdobywa się stałą obecność za pomocą sterownika Ndriver (Cahnadr), który działając z uprawnieniami kernela w praktyce oddaje napastnikom pełną kontrolę nad komputerem ofiary. Zawiera on mechanizmy neutralizujące oprogramowanie antywirusowe, utrudniające debugowanie, monitorujące aktywność sieciową i dyskową czy ukrywające własny ruch internetowy. Badacze z Kaspersky Lab zachwycają się Ndriverem – napisany w czystym C sterownik wszystkie te operacje realizuje niskopoziomowo, unikając wykrycia, ale zarazem unikając popsucia systemu plików czy wywołania niebieskiego ekranu śmierci. Innymi słowy, zapewniono w nim pełną kompatybilność z mechanizmami stosowanymi przez sam kernel Windowsa.

Do dzisiaj pozostaje niejasne, jak malware pojawiło się na routerach MikroTika, popularnych przecież dzięki atrakcyjnej cenie w wielu krajach byłego bloku wschodniego i krajach rozwijających się. Samo Kaspersky Lab spekuluje, że wykorzystać do tego można było jedno z ujawnionych przez WikiLeaks w wycieku Vault7 narzędzi CIA, atak o nazwie ChimayRed. Samo MikroTik jednak wyjaśnia, że ChimayRed działa tylko na starszych wersjach firmware routerów, a w dodatku wymaga wcześniejszego wyłączenia zapory sieciowej routera, w domyślnej konfiguracji oczywiście włączonej.

Jasne za to pozostaje główne zastosowanie Slingshota. Najwyraźniej służył on przede wszystkim do infekowania kafejek internetowych, wciąż popularnych poza Zachodem. Widać to po danych telemetrycznych z Kaspersky Security Network, która wychwytywała oznaki infekcji w sieciach liczących tuziny komputerów, gdzie zarazem jednak korzystano z licencji domowych na oprogramowanie Kasperskiego. Jak retorycznie pyta dyrektor badawczy Kaspersky Lab, Costin Raiu, kto ma w domu 30 komputerów?

Ten ślad wskazujący na CIA to raczej poszlaka, ale nie jest to jedyna poszlaka, która każe sądzić, że za atakami mogą stać Stany Zjednoczone albo któryś z ich anglojęzycznych sojuszników (Five Eyes, sojusz pięciorga oczu). Z analiz kodu złośliwego oprogramowania wynika, że jego autorzy używali raczej angielskiego niż np. rosyjskiego czy chińskiego. Inną poszlaką jest też geograficzny zasięg operacji – zarażone systemy wykryto w Kenii, Jemenie, Iraku, Afganistanie, Somalii, Libii, Kongo, Turcji, Jordanii i Tanzanii. W wielu tych krajach USA prowadziły otwarte operacje wojskowe, w innych zaś operacje bardziej delikatnej natury.

Cynicznie nastawieni internauci zwrócą zapewne też uwagę na to, kto popsuł Slingshota. Kaspersky Lab oczywiście zapewnia, że nie ma nic wspólnego z polityką Kremla, ale można powiedzieć, że ujawnienie tej operacji przynosi wizerunkowe korzyści właśnie Rosjanom: z jednej strony miesza szyki amerykańskim partnerom, z drugiej zaś przypomina światu, że nawet jeśli Rosja stoi za jakimiś cyberatakami, to nie jest przecież jedyna w tej brudnej grze wywiadów.

© dobreprogramy
reklama
r   e   k   l   a   m   a

Komentarze

reklama
Polecamy w WP TechnologieWP TechnologieTest najlepszych telewizorów na Mundial