Tietoturva

Kiero vakoiluohjelma pysyi piilossa 6 vuotta – ”ainutlaatuinen” leviämistapa

Julkaistu:

Vakoiluohjelmat
Ilmeisesti valtiolliseen vakoiluun tarkoitettu haittaohjelma on löytäjänsä Kaspersky Labin mukaan erittäin kehittynyt ja monimutkainen.
Tietoturvayhtiö Kaspersky Lab kertoo löytäneensä haittaohjelman, jota se kuvailee edistyneimmäksi näkemistään.

Slingshot (Ritsa) -nimellä tunnettu vakoiluohjelma osaa kaapata saastuneesta tietokoneesta muun muassa kuvakaappauksia, kameran kuvaa, näppäimistöllä kirjoitetun tekstin, verkonkäyttötiedot, salasanat sekä leikepöydän sisällön.

Haittaohjelman leviämistapa on poikkeuksellinen. Tartunnat ovat tapahtuneet kaapattujen reitittimien kautta, ja ne ovat normaalin toimintansa ohessa jaelleet verkossa oleville koneille haittaohjelmaa. Ohjelma on levinnyt ainakin MikroTik-reitittimen kautta, mutta mahdollisesti muidenkin.

Slingshot on kirjoitettu taitavasti, sillä se pääsee käsiksi suoraan käyttöjärjestelmän ydintoimintoihin. Tämä tapahtuu siten, että se etsii koneesta haavoittuvia, mutta digitaalisesti allekirjoitettuja eli isot käyttöoikeudet omaavia ajuriohjelmistoja ja käyttää niitä ohjelmakoodinsa suorittamiseen.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Haittaohjelma on myös erittäin taitava piiloutumaan. Kun se huomaa olevansa analysoitavana, se sammuttaa osia itsestään. Itse ohjelmatiedostot sijaitsevat kiintolevyn käyttämättömällä osalla, jolle Slingshot luo oman tiedostojärjestelmänsä.

Ensimmäiset haittaohjelmanäytteet ovat vuodelta 2012, ja ohjelma oli toiminnassa vielä helmikuussa 2018.

Kaspersky Lab pitää Slingshotia kehittyneempänä kuin parin vuoden takaista Sauronia. Se uskoo myös Slingshotin olevan valtion tuella kehitetty vakoiluohjelma, sillä sen käyttämiä leviämismenetelmiä ja sen kehitystyökaluja ei ole ennen nähty.

– Slingshot on erittäin monimutkainen, ja sen kehittäjät ovat käyttäneet suuren määrän aikaa ja rahaa. Sen leviämistapa on poikkeuksellinen – ja tietääksemme ainutlaatuinen, Kaspersky kirjoittaa haittaohjelmaan liittyvissä kysymyksissä ja vastauksissa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Ohjelmaa on tavattu Lähi-idän ja Afrikan maista. Ohjelmakoodista löytyneet viittaukset vihjaavat siihen suuntaan, että sen kehittäjät ovat englanninkielisiä tai ainakin osaavat englantia.

Tietoturvayhtiö julkaisi Slingshotista myös 25-sivuisen teknisen artikkelin (pdf).

Kommentit

    Näytä lisää
    Kommentointi on päättynyt