Securelist (آزمایشگاهی متعلق به Kaspersky) اخیرا نوعی خانواده بدافزار بسیار پیشرفته را شناسایی کرد که به مدت 6 سال مخفی مانده بود.

محققان آزمایشگاه Securelist این APT (تهدید پیشرفته پایدار) را Slingshot نام گذاشته اند. به نظر می‌رسد این ویروس اولین بار در سال 2012 راه‌اندازی شده و در زمان کشف هنوز فعال بوده است. این آزمایشگاه تنها  تا100 از اهداف Slingshot را کشف کرده که اشخاص، آژانس‌های دولتی و سازمان‌ها را شامل می‌شوند. بیشتر قربانیان از کشورهای کنیا، یمن، لیبی و افغانستان بوده اند.

این بدافزار برای انتشار خود از مسیریاب‌های قربانی شده میکروتیک از طریق برنامه Winbox Loader استفاده می‌کند. برنامه Winbox Loader، روی یک کامپیوتر نصب می‌شود و برای پیکربندی مسیریاب‌های میکروتیک به کار می‌رود. در حالت عادی این برنامه تعدادی فایل را از روی مسیریاب به کامپیوتر دانلود می‌کند. یکی از این فایل‌ها وقتی دانلود شود، باعث دانلود فایل‌های بدخواه دیگری به کامپیوتر می‌شوند.

این بدافزار دارای قابلیت جمع‌آوری اطلاعات شبکه، جمع‌آوری گذرواژه‌های ذخیره شده در فایرواکس و اینترنت اکسپلورر، عملکرد به عنوان کیلاگر، جمع‌آوری اطلاعات در مورد پارتیشن‌ها و دستگاه‌های USB، فرستادن اعلان در هنگام اتصال دستگاه‌های جدید و تزریق ماژول ScSB به فرایندهای در حال اجرا است. ماژول ScSB قادر به گرفتن تصویر از صفحه نمایش و جمع‌آوری اطلاعات درباره پنجره‌ها و اطلاعات جغرافیایی سیستم است.

Securelist گروه خاصی را به عنوان توسعه‌دهنده این تهدید معرفی نکرده است، اما اظهار داشته است که این گروه احتمالا بسیار سازمان یافته و حرفه‌ای است و ممکن است پشتوانه دولتی داشته باشد.

به گفته یکی از نمایندگان میکروتیک مشخص نیست این ویروس چگونه به مسیریاب‌های این برند راه یافته است، اما احتمالا از یک آسیب‌پذیری استفاده کرده اند که در مارچ 2017 اصلاح شده است و پس از آن نیز میکروتیک امنیت RouterOS را دائما ارتقاء داده است. توجه کنید که دیوار آتش دستگاه‌های آلوده شده غیرفعال بوده است. توصیه می‌شود دستگاه‌های خود را به روز نگه داشته و از دیوار آتش استفاده کنید تا IPهای غیرمجاز به مسیریاب شما دسترسی پیدا نکنند.

منبع