Uno stato-nazione ha sviluppato un pezzo di malware così potente da poter rubare tutto ciò che accade su un computer senza nemmeno essere installato sul dispositivo di destinazione stesso. Invece, risiede su un router. Si chiama Slingshot ed è stato recentemente scoperto da Kaspersky Labs. Incredibilmente, il malware è così potente e sofisticato che si è nascosto nei router per sei anni prima di essere finalmente individuato.
Questo è probabilmente il motivo per cui uno stato-nazione è dietro l'attacco. E mentre i router infetti che sono stati identificati verranno riparati tramite gli aggiornamenti del software, non si può sapere quanti macchinari potrebbero essere stati interessati.
Secondo Ars Technica , la raffinatezza di Slingshot rivaleggia con applicazioni malware altrettanto avanzate, tra cui Regin, una backdoor che ha contagiato la belga Telco Belgacom e altri obiettivi per anni, e Project Sauron, un malware separato che è rimasto nascosto per anni.
I ricercatori non sanno esattamente come Slingshot abbia infettato tutti i suoi bersagli, ma in alcuni casi l'app dannosa è stata collocata all'interno dei router MikroTik a cui gli operatori di Slingshot hanno avuto accesso.
Dopo che un router è stato infettato, il malware potrebbe caricare un paio di moduli "enormi e potenti" sul computer di destinazione. Ciò include un modulo in modalità kernel chiamato Cahnadr e un modulo in modalità utente chiamato GollumApp. I due sono quindi in grado di supportarsi l'un l'altro per raccogliere dati e quindi inviarli all'attaccante. Il malware è stato probabilmente utilizzato per scopi di spionaggio, in quanto era in grado di registrare dati relativi alle attività desktop e agli appunti, oltre a raccogliere schermate, dati della tastiera, dati di rete, password e dati dai dispositivi USB.
I computer infetti erano situati principalmente in Kenya e Yemen, ma anche in Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. I target includevano individui, organizzazioni e istituzioni governative. Kaspersky non ha identificato i creatori del malware ma ha affermato che i messaggi di debug sono stati scritti in perfetto inglese, suggerendo agli sviluppatori di parlare quella lingua.
Una cosa incredibilmente sofisticata che il malware ha fatto per nascondere la sua esistenza è stata l'utilizzo di un file system virtuale crittografato situato in una parte inutilizzata del disco rigido. Il malware ha anche crittografato tutte le stringhe di testo in vari moduli direttamente per bypassare i prodotti di sicurezza. Ha persino spento alcuni componenti quando erano in uso strumenti forensi sul dispositivo.
"La fionda è molto complessa e gli sviluppatori dietro di essa hanno chiaramente speso una grande quantità di tempo e denaro per la sua creazione", hanno scritto i ricercatori dell'azienda. "Il suo vettore di infezione è notevole e, per quanto ne sappiamo, unico."