Popularne routery zarażały Windowsa: rośnie rozmach szpiegowskich operacji

Popularne routery zarażały Windowsa: rośnie rozmach szpiegowskich operacji12.03.2018 15:32
RouterBOARD 750 z punktem dostępowym: popularny sprzęt Mikrotika (źródło Wikimedia, licencja CC BY-SA 4.0)

Ataki na routery to internetowa codzienność – te stalepodłączone urządzenia są przecież pełne niezałatanychpodatności, a ich przejęcie pozwala na ingerowanie w ruch sieciowyofiary. Jak się jednak okazuje dzięki pracy badaczy Kaspersky Lab,można jednak pójść dalej. Ujawniona przez nich operacja Slingshotto spektakularne wykorzystanie routerów do zarażania i przejmowaniapecetów w sieciach lokalnych. Co gorsza, chodzi o znane i cenionetakże i u nas routery łotewskiej firmy MikroTik.

W operacji Slingshot, która prowadzona miała być w tajemnicyprzez przynajmniej sześć ostatnich lat, wykorzystano pewnąnietypową właściwość łotewskich routerów. Podczas gdywiększość innych producentów pozwala zarządzać swoimi routeramijedynie przez panele webowe, w ostateczności przez polecenia powłokidostępne po SSH, sprzętem MikroTika można zarządzać za pomocączegoś, co pamięta złote lata Microsoftu – aplikacji win32 onazwie Winbox.

Winbox: bardzo wygodny menedżer konfiguracji routerów MikroTika (źródło: wiki producenta)
Winbox: bardzo wygodny menedżer konfiguracji routerów MikroTika (źródło: wiki producenta)

Ta niewielka aplikacja pozwala na zdalne administrowanie systememoperacyjnym routera (RouterOS) poprzez szybki i prosty interfejs,niewątpliwie szybszy niż te wszystkie konfiguracyjne stronyinternetowe. Wszystkie oferowane funkcje są zgodne z tym, co możliwejest za pomocą konsoli, tak więc popularność Winboksa wśródużytkowników jest spora, tym bardziej, że jego instalacjaprzebiega bezpośrednio z routera – wystarczy wpisać wprzeglądarce jego adres IP w sieci lokalnej i kliknąć odpowiednilink na stronie powitalnej webowego interfejsu RouterOS-a.

Napastnicy prowadzący operację Slingshot w jakiś sposóbzdołali zainfekować te pliki instalacyjne Winboksa, aby za ichpomocą zarażać komputery pracujące pod kontrolą Windowsa.Podczas instalacji w systemie pojawiała się biblioteka .dll, którejwywołanie przez aplikację staje się przyczółkiem dla dalszegoataku. Oprócz pobrania z serwerów producenta normalnych komponentówWinboksa, pobrane zostają też liczne moduły spyware, działającez normalnymi uprawnieniami użytkownika. To tzw. GollumApp,gromadzące hasła, informacje ze schowka, obraz z kamery, robiącezrzuty ekranowe czy śledzące urządzenia podłączane po USB.

To jednak nie wszystko. Na zainfekowanym systemie zdobywa sięstałą obecność za pomocą sterownika Ndriver (Cahnadr), którydziałając z uprawnieniami kernela w praktyce oddaje napastnikompełną kontrolę nad komputerem ofiary. Zawiera on mechanizmyneutralizujące oprogramowanie antywirusowe, utrudniającedebugowanie, monitorujące aktywność sieciową i dyskową czyukrywające własny ruch internetowy. Badacze z Kaspersky Labzachwycają się Ndriverem – napisany w czystym C sterownikwszystkie te operacje realizuje niskopoziomowo, unikając wykrycia,ale zarazem unikając popsucia systemu plików czy wywołanianiebieskiego ekranu śmierci. Innymi słowy, zapewniono w nim pełnąkompatybilność z mechanizmami stosowanymi przez sam kernelWindowsa.

Do dzisiaj pozostaje niejasne, jak malware pojawiło się narouterach MikroTika, popularnych przecież dzięki atrakcyjnej ceniew wielu krajach byłego bloku wschodniego i krajach rozwijającychsię. Samo Kaspersky Lab spekuluje, że wykorzystać do tego możnabyło jedno z ujawnionych przez WikiLeaks w wycieku Vault7 narzędziCIA, atak o nazwie ChimayRed. Samo MikroTik jednak wyjaśnia, żeChimayRed działa tylko na starszych wersjach firmware routerów, a wdodatku wymaga wcześniejszego wyłączenia zapory sieciowej routera,w domyślnej konfiguracji oczywiście włączonej.

Jasne za to pozostaje główne zastosowanie Slingshota.Najwyraźniej służył on przede wszystkim do infekowania kafejekinternetowych, wciąż popularnych poza Zachodem. Widać to po danychtelemetrycznych z Kaspersky Security Network, która wychwytywałaoznaki infekcji w sieciach liczących tuziny komputerów, gdziezarazem jednak korzystano z licencji domowych na oprogramowanieKasperskiego. Jak retorycznie pyta dyrektor badawczy Kaspersky Lab,Costin Raiu, kto ma w domu 30 komputerów?

Ten ślad wskazujący na CIA toraczej poszlaka, ale nie jest to jedyna poszlaka, która każesądzić, że za atakami mogą stać Stany Zjednoczone albo któryśz ich anglojęzycznych sojuszników (Five Eyes, sojusz pięciorgaoczu). Z analiz kodu złośliwego oprogramowania wynika, że jegoautorzy używali raczej angielskiego niż np. rosyjskiego czychińskiego. Inną poszlaką jest też geograficzny zasięg operacji– zarażone systemy wykryto w Kenii, Jemenie, Iraku, Afganistanie,Somalii, Libii, Kongo, Turcji, Jordanii i Tanzanii. W wielu tychkrajach USA prowadziły otwarte operacje wojskowe, w innych zaśoperacje bardziej delikatnej natury.

Cynicznie nastawieni internaucizwrócą zapewne też uwagę na to, kto popsuł Slingshota. KasperskyLab oczywiście zapewnia, że nie ma nic wspólnego z politykąKremla, ale można powiedzieć, że ujawnienie tej operacji przynosiwizerunkowe korzyści właśnie Rosjanom: z jednej strony mieszaszyki amerykańskim partnerom,z drugiej zaś przypomina światu, że nawet jeśli Rosja stoi zajakimiś cyberatakami, to nie jest przecież jedyna w tej brudnejgrze wywiadów.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na