Анастасия Кириченко
Начинающий художник, настольный игроман и жуткий любитель природы

Специалисты Kaspersky Lab открыли вирус, атакующий ПК через маршрутизаторы

Фото: TechTrendsKE
Фото: TechTrendsKE

Сотрудники Kaspersky Lab идентифицировали новый продвинутый штамм вредоносного программного обеспечения, вероятно, созданного правительством. Вирус получил название Slingshot и осуществляет многоуровневые атаки посредством сетевого оборудования MikroTik.

Как работает Slingshot

Вирус отличается сложным алгоритмом действий. Изначально, он заменяет один из файлов библиотеки вредоносной копией, загружающей другие компоненты вредоносного ПО, а затем инициирует двухуровневую атаку на компьютер.

Первый компонент, Canhadr запускает процессы, позволяющие злоумышленникам получить доступ к запоминающему устройству, памяти и данным, в то время как второй — GollumApp, фиксируется на уровне пользователя и управляет файловой системой для сохранения компонентов вредоносного ПО.

Фото: Reuters
Фото: Reuters

В Kaspersky Lab эти два компонента вируса описываются как «шедевр» и не безосновательно. Slingshot встраивается в файловую систему и использует ее для хранения вредоносных компонентов программного обеспечения, дополнительно шифруя каждую строчку в своем программном модуле.

При этом компонент напрямую вызывает ряд служб компьютера, чтобы избежать проверки безопасности антивирусными программами. По сути, программа попросту отключает инструменты проверки и маскирует компоненты, чтобы не быть идентифицированной.

Как защититься от вируса

Slingshot имеет иммунитет к общепринятым инструментам поиска и распознавания вирусов, благодаря этому программа не была идентифицирована ранее, хотя и существовала, по крайней мере, с 2012 года.

Благодаря продуманной, четкой структуре, где каждый компонент играет свою роль, вирус может украсть любую информацию с компьютера. Совершенно беззащитными оказываются пароли, потоки сетевого трафика и скриншоты, а также любая персональная информация.

Фото: VOP Today
Фото: VOP Today

Методы заражения компьютера вирусом Slingshot пока изучены не до конца. Известно, что основным путем заражения является установка программного обеспечения для управления роутерами и маршрутизаторами MikroTik, однако как еще вирус может попасть в файловую систему персонального компьютера, пока остается загадкой. Для защиты от вируса в Kaspersky Lab предложили такое решение:

Если вы используете маршрутизатор MikroTik и программное обеспечение для управления WinBox, загрузите последнюю версию программы и убедитесь, что маршрутизатор обновлен до последней версии своей ОС. Тем не менее, обновления обезопасят вас только от одного вектора атаки, а не от самой устойчивой угрозы.
Чтобы защитить свой бизнес от сложных целенаправленных атак, вам необходимо реализовать стратегический подход. Мы предлагаем платформу для управления угрозами и обороной. Она состоит из платформы Kaspersky Anti Targeted Attack, наших новых решений Kaspersky Endpoint Detection, Response и экспертных услуг.

Разработчики Slingshot

Вирус отличается сложной структурой и массой «шпионских» возможностей, он способен эффективно обойти защиту большинства персональных компьютеров. Именно это и натолкнуло сотрудников Kaspersky Lab на мысль о том, что вирус мог быть разработан государственными органами. Программа по своей сложности и изощренности конкурирует с Regin GCHQ, которая использовалась для отслеживания действий бельгийского перевозчика Belgacom.

Несмотря на то, что некоторые кодовые подсказки намекают на то, что к разработке ПО может быть причастна Великобритания, прямого подтверждения этого факта пока не получено.

Пока жертвами вируса стали около ста членов правительства и предпринимателей из Афганистана, Ирака, Иордании, Кении, Ливии и Турции. По предположению, главными «подозреваемыми» в разработке ПО становятся государства, которые больше других интересуются регионами с высоким уровнем террористической угрозы:

  • Австралия;
  • Канада;
  • Новая Зеландия;
  • Великобритания;
  • США.

Факт того, что вирус использует для распространения программное обеспечение для MikroTik, отнюдь не значит, что владельцы другого сетевого оборудования могут вздохнуть с облегчением. Так специалисты Kaspersky Lab озабочены тем, что влияние вируса может затронуть и другие программы.

Фото: VistaNews.ru
Фото: VistaNews.ru

В таком случае окажется, что Slingshot имеет еще более изощренный алгоритм действия и гораздо более опасен для персональной информации, как может показаться на первый взгляд. Пока же о точной природе этой программы остается только догадываться, как и ее истинных возможностях.