卡巴斯基揭发一起针对中东和非洲精心藏匿6年的间谍行动
卡巴斯基安全实验室目前已经确定某个自2012 年就已经开始运作但此前从未被注意到的高级APT 黑客组织。
该黑客组织使用高级恶意软件Slingsho通过路由器来攻击用户,目前在中东地区和非洲地区感染的用户总量超过十万。
黑客目标是拉脱维亚网络硬件提供商的Mikrotik路由器,该路由器预装固件中存在未知的安全漏洞可被利用。
设法通过路由感染用户计算机:
当然黑客主要的目的自然不是为感染用户使用的路由器,路由器仅只是作为跳板用来攻击用户使用的计算机。
如果用户运行路由器配套软件WinboxLoader时则会自动从路由器中加载黑客存放的恶意文件到计算机内存。
通过这种方式该黑客组织可以极其隐秘的感染用户计算机,对于用户来说全程没有任何弹窗或者未知提示等。
卡巴斯基揭发一起针对中东和非洲精心藏匿6年的间谍行动
全功能的高级恶意软件:
黑客感染用户计算机所使用的恶意软件具备丰富功能,包括允许黑客通过远程服务器下发指令进行截取屏幕。
同时不论是用户浏览器中保存的账号和密码信息、还是用户敲击键盘按下的每个按键都会自动上传到服务器。
复杂的模块具备反调试和安全检测躲避安全软件的查杀,这也是这个恶意软件能够感染大量用户的主要原因。
利用CIA泄露的漏洞武器库:
卡巴斯基目前仍然不清楚黑客如何成功感染路由器的,但该公司认为这可能与美国中央情报局泄露数据有关。
此前维基解密曾透露美国中央情报局泄露的漏洞武器库数据,这些漏洞武器库数据中包含上述路由器的内容。
黑客很可能在很早之前就已经掌握这些泄露的数据,进而通过路由器固件漏洞将恶意文件植入用户的计算机。