Slingshot: Kaspersky entdeckt neue Windows-Malware

Forscher haben auf der Sicherheitskonferenz Kaspersky Security Analyst Summit (SAS) eine ihrer Einschätzung nach hochentwickelte Cyberspionage-Kampagne namens Slingshot vorgestellt. Als Besonderheit stellten sie den Angriffsvektor hervor: kompromittierte Router des Herstellers Mikrotik. Allerdings ist bei den meisten Systemen, die mit der Slingshot-Malware infiziert wurden, nicht bekannt, wie die eigentliche Infektion erfolgte.

Im Fall der Mikrotik-Router ist es den Hintermännern gelungen, in ein Paket mit legitimen Dateibibliotheken (DLL) eine schädliche DLL einzuschleusen, die wiederum als Downloader für schädliche Dateien dient, die anschließend im Router gespeichert werden. Über eine Winbox Loader genannte Management-Software für Mikrotik-Router gelangt schließlich der Loader namens Slingshot auf den Windows-Rechner des Router-Administrators.

Dort ersetzt er die legitime Windows-Bibliothek „scesrv.dll“ durch eine speziell präparierte Variante mit derselben Dateigröße. Sie interagiert mit weiteren Malware-Modulen, darunter ein Kernelmodus-Netzwerksniffer, ein Datei-Packer und ein virtuelles Dateisystem.

Ein Modul namens Gollum-App enthält der Analyse zufolge mehr als 1500 Funktionen, die vor allem der Tarnung der Schadsoftware dienen, die Kontrolle des Dateisystems ermöglichen und für die Kommunikation mit einem Befehlsserver zuständig sind. Das Modul Canhadr wiederum bringt Low-Level-Routinen für das Netzwerk und Ein-Ausgabe-Operationen. Es ist in der Lage, Schadcode im Kernelmodus auszuführen, ohne einen Absturz des Dateisystems oder einen Blue Screen auszulösen, was die Forscher als „bemerkenswerte Leistung“ einstufen. Canhadr gibt vollständigen Zugriff auf die Festplatte und den Arbeitsspeicher, ohne von Sicherheitsfunktionen erkannt zu werden oder ein Debugging auszulösen.

„Hauptaufgabe von Slingshot scheint die Cyberspionage zu sein“, heißt es in einer FAQ zu Slingshot. Die Malware erstellt demnach Screenshots, sammelt Tastaturdaten, Netzwerkdaten, Passwörter, überwacht USB-Verbindungen, die Zwischenablage und den Desktop. Dank Kernelrechten könne Slingshot beliebige Daten stehlen wie Kreditkartendaten, Passwort-Hashes und Sozialversicherungsnummern.

Zero-Day-Lücken wurden bisher laut Kaspersky im Zusammenhang mit Slingshot nicht entdeckt. „Aber das bedeutet nicht, dass sie nicht existieren – dieser Teil der Geschichte fehlt uns noch“, so Kaspersky weiter. „Aber es nutzt bekannte Anfälligkeiten in Treibern aus, um ausführbaren Code an den Kernelmodus zu übergeben.“

Die Kaspersky-Forscher gehen davon aus, dass Slingshot bereits seit 2012 aktiv ist – und immer noch von den unbekannten Hintermännern verbreitet wird. Mikrotik-Router lassen sich ihnen zufolge allerdings nicht mehr für die Slingshot-Kampagne missbrauchen. Sie schließen allerdings nicht aus, dass sich der Angriff auch über Router anderer Hersteller ausführen lässt.

Die Verbreitung von Slingshot ist bisher als sehr gering einzustufen. Zwischen 2012 und 2018 soll die Malware gerade mal rund 100 Opfer gefunden haben, vor allem in Kenia, dem Jemen, Afghanistan, Lybien, Kongo, Jordanien, der Türkei, dem Irak, Sudan, Somalia und Tansania. In den meisten Fällen handele es sich um Einzelpersonen und nicht um Organisationen.

Zu den Hintermännern gibt es bisher offenbar nur vage Vermutungen. So soll der Schadcode darauf hinweisen, dass die Täter Englisch sprechen. Da die analysierten Muster der Schadsoftware die Versionsnummer 6.x tragen, gehen die Forscher zudem davon aus, dass Slingshot schon länger aktiv ist. Aufgrund der Komplexität soll zudem eine Organisation dahinter stecken, die über erhebliche Ressourcen verfügt – möglicherweise ein Nationalstaat. „Wie immer ist eine genaue Zuordnung schwer wenn nicht sogar unmöglich, und zunehmend anfällig für Manipulationen und Fehler“, ergänzte Kaspersky.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.