Categories: SicherheitVirus

Slingshot: Kaspersky entdeckt neue Windows-Malware

Forscher haben auf der Sicherheitskonferenz Kaspersky Security Analyst Summit (SAS) eine ihrer Einschätzung nach hochentwickelte Cyberspionage-Kampagne namens Slingshot vorgestellt. Als Besonderheit stellten sie den Angriffsvektor hervor: kompromittierte Router des Herstellers Mikrotik. Allerdings ist bei den meisten Systemen, die mit der Slingshot-Malware infiziert wurden, nicht bekannt, wie die eigentliche Infektion erfolgte.

Im Fall der Mikrotik-Router ist es den Hintermännern gelungen, in ein Paket mit legitimen Dateibibliotheken (DLL) eine schädliche DLL einzuschleusen, die wiederum als Downloader für schädliche Dateien dient, die anschließend im Router gespeichert werden. Über eine Winbox Loader genannte Management-Software für Mikrotik-Router gelangt schließlich der Loader namens Slingshot auf den Windows-Rechner des Router-Administrators.

Dort ersetzt er die legitime Windows-Bibliothek „scesrv.dll“ durch eine speziell präparierte Variante mit derselben Dateigröße. Sie interagiert mit weiteren Malware-Modulen, darunter ein Kernelmodus-Netzwerksniffer, ein Datei-Packer und ein virtuelles Dateisystem.

Ein Modul namens Gollum-App enthält der Analyse zufolge mehr als 1500 Funktionen, die vor allem der Tarnung der Schadsoftware dienen, die Kontrolle des Dateisystems ermöglichen und für die Kommunikation mit einem Befehlsserver zuständig sind. Das Modul Canhadr wiederum bringt Low-Level-Routinen für das Netzwerk und Ein-Ausgabe-Operationen. Es ist in der Lage, Schadcode im Kernelmodus auszuführen, ohne einen Absturz des Dateisystems oder einen Blue Screen auszulösen, was die Forscher als „bemerkenswerte Leistung“ einstufen. Canhadr gibt vollständigen Zugriff auf die Festplatte und den Arbeitsspeicher, ohne von Sicherheitsfunktionen erkannt zu werden oder ein Debugging auszulösen.

„Hauptaufgabe von Slingshot scheint die Cyberspionage zu sein“, heißt es in einer FAQ zu Slingshot. Die Malware erstellt demnach Screenshots, sammelt Tastaturdaten, Netzwerkdaten, Passwörter, überwacht USB-Verbindungen, die Zwischenablage und den Desktop. Dank Kernelrechten könne Slingshot beliebige Daten stehlen wie Kreditkartendaten, Passwort-Hashes und Sozialversicherungsnummern.

Zero-Day-Lücken wurden bisher laut Kaspersky im Zusammenhang mit Slingshot nicht entdeckt. „Aber das bedeutet nicht, dass sie nicht existieren – dieser Teil der Geschichte fehlt uns noch“, so Kaspersky weiter. „Aber es nutzt bekannte Anfälligkeiten in Treibern aus, um ausführbaren Code an den Kernelmodus zu übergeben.“

Die Kaspersky-Forscher gehen davon aus, dass Slingshot bereits seit 2012 aktiv ist – und immer noch von den unbekannten Hintermännern verbreitet wird. Mikrotik-Router lassen sich ihnen zufolge allerdings nicht mehr für die Slingshot-Kampagne missbrauchen. Sie schließen allerdings nicht aus, dass sich der Angriff auch über Router anderer Hersteller ausführen lässt.

Die Verbreitung von Slingshot ist bisher als sehr gering einzustufen. Zwischen 2012 und 2018 soll die Malware gerade mal rund 100 Opfer gefunden haben, vor allem in Kenia, dem Jemen, Afghanistan, Lybien, Kongo, Jordanien, der Türkei, dem Irak, Sudan, Somalia und Tansania. In den meisten Fällen handele es sich um Einzelpersonen und nicht um Organisationen.

Zu den Hintermännern gibt es bisher offenbar nur vage Vermutungen. So soll der Schadcode darauf hinweisen, dass die Täter Englisch sprechen. Da die analysierten Muster der Schadsoftware die Versionsnummer 6.x tragen, gehen die Forscher zudem davon aus, dass Slingshot schon länger aktiv ist. Aufgrund der Komplexität soll zudem eine Organisation dahinter stecken, die über erhebliche Ressourcen verfügt – möglicherweise ein Nationalstaat. „Wie immer ist eine genaue Zuordnung schwer wenn nicht sogar unmöglich, und zunehmend anfällig für Manipulationen und Fehler“, ergänzte Kaspersky.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

14 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago