Categories: SicherheitVirus

Slingshot: Kaspersky entdeckt neue Windows-Malware

Forscher haben auf der Sicherheitskonferenz Kaspersky Security Analyst Summit (SAS) eine ihrer Einschätzung nach hochentwickelte Cyberspionage-Kampagne namens Slingshot vorgestellt. Als Besonderheit stellten sie den Angriffsvektor hervor: kompromittierte Router des Herstellers Mikrotik. Allerdings ist bei den meisten Systemen, die mit der Slingshot-Malware infiziert wurden, nicht bekannt, wie die eigentliche Infektion erfolgte.

Im Fall der Mikrotik-Router ist es den Hintermännern gelungen, in ein Paket mit legitimen Dateibibliotheken (DLL) eine schädliche DLL einzuschleusen, die wiederum als Downloader für schädliche Dateien dient, die anschließend im Router gespeichert werden. Über eine Winbox Loader genannte Management-Software für Mikrotik-Router gelangt schließlich der Loader namens Slingshot auf den Windows-Rechner des Router-Administrators.

Dort ersetzt er die legitime Windows-Bibliothek „scesrv.dll“ durch eine speziell präparierte Variante mit derselben Dateigröße. Sie interagiert mit weiteren Malware-Modulen, darunter ein Kernelmodus-Netzwerksniffer, ein Datei-Packer und ein virtuelles Dateisystem.

Ein Modul namens Gollum-App enthält der Analyse zufolge mehr als 1500 Funktionen, die vor allem der Tarnung der Schadsoftware dienen, die Kontrolle des Dateisystems ermöglichen und für die Kommunikation mit einem Befehlsserver zuständig sind. Das Modul Canhadr wiederum bringt Low-Level-Routinen für das Netzwerk und Ein-Ausgabe-Operationen. Es ist in der Lage, Schadcode im Kernelmodus auszuführen, ohne einen Absturz des Dateisystems oder einen Blue Screen auszulösen, was die Forscher als „bemerkenswerte Leistung“ einstufen. Canhadr gibt vollständigen Zugriff auf die Festplatte und den Arbeitsspeicher, ohne von Sicherheitsfunktionen erkannt zu werden oder ein Debugging auszulösen.

„Hauptaufgabe von Slingshot scheint die Cyberspionage zu sein“, heißt es in einer FAQ zu Slingshot. Die Malware erstellt demnach Screenshots, sammelt Tastaturdaten, Netzwerkdaten, Passwörter, überwacht USB-Verbindungen, die Zwischenablage und den Desktop. Dank Kernelrechten könne Slingshot beliebige Daten stehlen wie Kreditkartendaten, Passwort-Hashes und Sozialversicherungsnummern.

Zero-Day-Lücken wurden bisher laut Kaspersky im Zusammenhang mit Slingshot nicht entdeckt. „Aber das bedeutet nicht, dass sie nicht existieren – dieser Teil der Geschichte fehlt uns noch“, so Kaspersky weiter. „Aber es nutzt bekannte Anfälligkeiten in Treibern aus, um ausführbaren Code an den Kernelmodus zu übergeben.“

Die Kaspersky-Forscher gehen davon aus, dass Slingshot bereits seit 2012 aktiv ist – und immer noch von den unbekannten Hintermännern verbreitet wird. Mikrotik-Router lassen sich ihnen zufolge allerdings nicht mehr für die Slingshot-Kampagne missbrauchen. Sie schließen allerdings nicht aus, dass sich der Angriff auch über Router anderer Hersteller ausführen lässt.

Die Verbreitung von Slingshot ist bisher als sehr gering einzustufen. Zwischen 2012 und 2018 soll die Malware gerade mal rund 100 Opfer gefunden haben, vor allem in Kenia, dem Jemen, Afghanistan, Lybien, Kongo, Jordanien, der Türkei, dem Irak, Sudan, Somalia und Tansania. In den meisten Fällen handele es sich um Einzelpersonen und nicht um Organisationen.

Zu den Hintermännern gibt es bisher offenbar nur vage Vermutungen. So soll der Schadcode darauf hinweisen, dass die Täter Englisch sprechen. Da die analysierten Muster der Schadsoftware die Versionsnummer 6.x tragen, gehen die Forscher zudem davon aus, dass Slingshot schon länger aktiv ist. Aufgrund der Komplexität soll zudem eine Organisation dahinter stecken, die über erhebliche Ressourcen verfügt – möglicherweise ein Nationalstaat. „Wie immer ist eine genaue Zuordnung schwer wenn nicht sogar unmöglich, und zunehmend anfällig für Manipulationen und Fehler“, ergänzte Kaspersky.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

21 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

21 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago