Các nhà nghiên cứu bảo mật tại Kaspersky vừa ghi nhận một cuộc tấn công được thực hiện bởi malware, có thể do chính phủ tài trợ với mục tiêu nhắm vào bộ định tuyến (router).
Cuộc tấn công Slingshot được cho là nhắm vào router của hãng MikroTik |
Theo Engadget, được biết đến với tên gọi Slingshot, mã độc hại này hướng đến máy tính cá nhân thông qua một cuộc tấn công đa lớp nhắm vào bộ định tuyến MikroTik.
Trước tiên, nó thay thế một tập tin thư viện bằng một tập tin độc hại tải các thành phần độc hại khác, và sau đó khởi động một cuộc tấn công thông minh hai mũi vào chính các máy tính. Một là Canhadr, chạy mã hạt nhân cấp thấp có hiệu quả cho kẻ xâm nhập dễ dàng, bao gồm quyền truy cập sâu vào bộ nhớ. Hai là GollumApp, tập trung vào cấp độ người dùng và chứa mã để phối hợp các nỗ lực, quản lý hệ thống tập tin và giữ phần mềm độc hại tồn tại. Kaspersky mô tả hai yếu tố này là “kiệt tác”.
Slingshot cũng lưu trữ các tập tin phần mềm độc hại của nó trong một hệ thống tập tin mã hóa, mã hóa mọi chuỗi văn bản trong các mô-đun của nó, gọi trực tiếp các dịch vụ và thậm chí tắt các thành phần khi các công cụ chống mã độc hoạt động. Nếu xuất hiện giải pháp giúp phát hiện phần mềm độc hại hoặc xác định hành vi của nó, Slingshot có thể có một biện pháp phòng chống lại nó.
Kaspersky cho rằng mã đã hoạt động từ ít nhất năm 2012 mà không ai hay biết.
Phần mềm độc hại có thể ăn cắp bất cứ thứ gì nó muốn, bao gồm keylogger, lưu lượng mạng, mật khẩu và ảnh chụp màn hình. Chính sự tinh tế tập trung vào mục đích gián điệp khiến Kaspersky tin rằng đứng đằng sau nó là một nhóm tin tặc được tài trợ bởi một cơ quan chính phủ, tuy nhiên thủ phạm vẫn chưa được xác định.
Slingshot có thể được chống lại bằng cách cập nhật phần mềm cho router MikroTik. Hiện không rõ lỗ hổng này có xảy ra ở các nhà cung cấp khác hay không.
Kiến Văn (thanhnien)