Cerdas hacker menyerang Timur Tengah dan Afrika melalui router

Computer Security News

Pakar keamanan Kaspersky Lab mengingatkan kelompok Spionase cyber anggotanya telah menyerang pengguna di Timur Tengah dan Afrika oleh melalui router mereka. Menurut peneliti, kelompok Spionase ini telah aktif sejak setidaknya 2012, dan serangan Pemesanan yang terlihat bulan lalu.

Sekitar 100 katapel korban telah diidentifikasi sejauh ini, sebagian besar di antaranya terletak di Kenya dan Yaman, namun, ada juga target yang terdaftar di Afghanistan, Kongo, Libya, Turki, Jordan, Sudan, Irak, Tanzania, dan Somalia.

Kampanye malware umumnya difokuskan pada pengguna individu, meskipun para peneliti juga telah melihat serangan yang menargetkan organisasi pemerintah serta beberapa kafe internet.

Bagian utama dari malware yang menggunakan hacker disebut katapel, dan ini didasarkan pada internal string yang ditemukan oleh para pengamat keamanan. Malware ini terkenal untuk menginfeksi komputer melalui router dikompromikan, khusus yang dibuat oleh Mikrotik, Latvia.

Saat ini, tidak ada informasi tentang cara router ditargetkan mendapatkan terganggu, namun, menurut Kaspersky ahli WikiLeaks Vault7 file termasuk mengeksploitasi Mikrotik.

Vendor mengatakan bahwa mereka telah ditambal kerentanan leverage oleh mengeksploitasi Vault7 dan hal ini tidak jelas jika para hacker saat ini menggunakan vektor awal.

Segera setelah para penyerang mendapatkan akses ke router, mereka dapat penyalahgunaan sah perangkat lunak bernama WinBox-ini adalah alat manajemen yang disediakan oleh Mikrotik yang download beberapa file DLL dari router dan beban mereka langsung ke memori PC.

Oleh menyalahgunakan fungsi yang disebutkan di atas, penjahat katapel dapat memberikan malware ke router ditargetkan administrator.

Pada dasarnya, malware adalah sebuah loader tahap pertama yang menggantikan sah DLL file di Windows dengan versi berbahaya yang memiliki ukuran yang sama persis. Dll berbahaya yang dimuat oleh proses services.exe, yang memiliki sistem hak.

Modul utama yang didownload oleh katapel disebut Cahnadr dan GollumApp. Cahnadr, juga dikenal sebagai Ndriver, adalah muatan kernel-mode menyediakan semua kemampuan yang dibutuhkan oleh modul mode pengguna, termasuk anti-debugging, fungsionalitas rootkit, menyuntikkan modul ke dalam proses services.exe, jaringan komunikasi, dan mengendus kemampuan untuk berbagai protokol.

GollumApp adalah pengguna-modus utama modul diciptakan untuk mengelola modul user mode lain sementara selalu berinteraksi dengan Cahnadr. Ini mencakup berbagai macam fungsi Spionase-fokus yang memungkinkan hacker untuk menangkap screenshot, log keystrokes, mengumpulkan data sistem dan jaringan, panen password, memanipulasi clipboard data, menjalankan proses-proses baru dengan sistem hak, dan menyuntikkan lain modul berbahaya ke dalam proses tertentu. Selain itu, malware memungkinkan hacker mendapatkan kontrol penuh dari komputer yang terinfeksi.

Katapel berusaha melarikan diri deteksi dengan menggunakan metode yang berbeda, termasuk memanggil layanan sistem langsung dalam upaya untuk mem-bypass keamanan produk kait, enkripsi string dalam modul, dan selektif menyuntikkan proses tergantung pada apa produk keamanan ada.

Selain itu, malware mempekerjakan beberapa teknik canggih ketika datang ke komando dan kontrol (C & C) komunikasi – menyembunyikan lalu lintas protokol komunikasi yang sah, menjaga mata keluar untuk paket yang berisi tanda khusus.

Berdasarkan semua analisis sejauh, Kaspersky Lab mengklaim bahwa ini adalah kampanye Spionase cyber disponsori negara, dan tingkat kecanggihan saingan tingkat aktor ancaman Regin dan ProjectSauron.


Leave a Reply

Your email address will not be published. Required fields are marked *