Slingshot: así es el sofisticado e increíble ataque de ciberespionaje que se gesta desde un router

Imaginen una herramienta diseñada específicamente para tareas de ciberespionaje, la cual es capaz de acceder a nuestro ordenador usando el router como puerto de entrada. Y una vez dentro, obtener privilegios del sistema para tener control de todo lo que sucede dentro de nuestro dispositivo. Podría sonar como guión de película de espías, pero es real, existe y acaba de ser descubierta.

Lleva por nombre 'Operación Slingshot' y se trata de uno de los ataques más avanzados de los últimos años, el cual parece estar dirigido a objetivos muy concretos, personas e instituciones, en Medio Oriente y África. Un ataque que se cree que lleva operando desde al menos 2012 y que ha afectado a cerca de 100 víctimas.

Un malware hecho a la medida del que no se sabe quién está detrás

Slingshot fue descubierto después de que un grupo de investigadores de Kaspersky Lab encontrara un keylogger dentro del ordenador de una institución gubernamental africana. Ante esto, se creó un seguimiento del comportamiento de este programa para ver si aparecía en otro lugar, lo que llevó a encontrarse con un archivo sospechoso dentro de la carpeta del sistema llamado 'scesrv.dll'.

Después de analizar este archivo, se encontró que cuenta con código malicioso en su interior capaz de obtener privilegios del sistema a través de 'services.exe', por lo que se trata de un malware increíblemente avanzado que se ejecuta sobre kernel, llegando así hasta el núcleo del ordenador tomando control de él sin que el usuario siquiera se percate de su existencia.

Slingshot posee una forma de atacar que nunca antes se había visto, ya que se trata de algo nuevo que no se basa en ningún otro malware que haya surgido anteriormente. Por ello, se cree que se trata de una herramienta creada a la medida por profesionales, quienes posiblemente están financiados por algún país, ya que inicialmente se creyó que se trataba de hacktivismo. Pero al ver lo sofisticado del ataque, se descartó esta teoría.

Entre lo que se ha ido descubriendo acerca de Slingshot está el hecho de que la infección proviene de routers hackeados, los cuales están cargados con enlaces dinámicos maliciosos, que de hecho es un programa de descarga para otros archivos. Cuando el administrador inicia sesión para configurar el router, se descarga y ejecuta este código en el ordenador del administrador, infectando así a toda la red en sólo unos minutos.

Aún se desconoce el método que han utilizado los atacantes para hackear (crackear) los routers. Una vez que el ordenador está infectado, dos potentes herramientas como Cahnadr y GollumApp hacen el trabajo sucio. Ambos módulos están conectados entre sí y son capaces de recopilar toda la información del dispositivo para después enviarla a los atacantes.

Slingshot hace capturas de pantallas cada cierto tiempo, obtiene datos de lo que recibe el teclado, datos de la red y conexiones, contraseñas, dispositivos conectados vía USB, la actividad del escritorio, los archivos guardados en portapapeles y mucho más. Y es que hay que recordar que este malware tiene acceso al Kernel, por lo que tiene acceso a todo.

Potente y discreto

Pero eso no es todo, ya que Slingshot también sabe esconderse. Incluye cifrado en todos sus módulos y cadenas, se conecta directamente a los servicios del sistema para eludir a los antivirus y otros programas de seguridad. Usa técnicas anti-depuración y selecciona los procesos en los que se activará dependiendo de los niveles de seguridad instalados en el ordenador, para así pasar completamente desapercibido.

Pero lo más impresionante de todo, es que Slingshot se aprovecha de los datos que obtiene vía Kernel para ocultar su comunicación y enlaces como si fuese un protocolo legitimo, por lo que nunca levanta sospechas. Esto lo hace interceptando conexiones reales para posteriormente hacerse pasar por ellas, todo sin dejar rastros al controlar y ocultar las direcciones IP.

La investigación también mostró que se trata de la versión 6.x, lo que sugiere que Slingshot ha existido desde hace varios años. Esto podría explicar su complejidad, lo cual sin duda requirió mucho tiempo para su desarrollo y sobre todo dinero, ya que es toda una obra de arte.

Por lo anterior, se cree que hay alguien con mucho poder detrás de su desarrollo, alguien organizado y profesional. Las pistas muestran código en habla inglesa, aunque la atribución exacta es complicada o casi imposible de determinar.

Quiénes son los afectados y cómo bloquear esta amenaza

Los investigadores aseguran que existen hasta febrero de 2018 cerca de 100 afectados por Slingshot, los cuales están ubicados en Yemen, Kenia, Afganistán, Libia, Congo, Jordania, Turquía, Irak, Sudán, Somalia y Tanzania. Estos afectados son principalmente personas especificas relacionadas con el gobierno y sólo algunas organizaciones, por lo que se cree que está muy bien estudiado para espiar a ciertos miembros.

Los routers de la marca Mikrotik son los afectados y para evitar un posible ataque se debe actualizar el firmware a la última versión cuanto antes. Esta es la única forma de garantizar su eliminación y protección contra posibles derivados basados en Slingshot que pudiesen surgir.

Más información | Securelist

Ver todos los comentarios en https://www.xataka.com

VER 32 Comentarios

Portada de Xataka