Malware enttarnt

„Slingshot“: Der Spion, der aus dem Router kam

(Bild: stock.adobe.com, krone.at-Grafik)

Der Sicherheitsanbieter Kaspersky warnt vor einer hochentwickelten Form der Cyberspionage, die mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treibt. Dabei attackiert und infiziert die Malware „Slingshot“ ihre Opfer über kompromittierte Router.

Slingshot ist in der Lage, im Kernel-Modus zu laufen und erhält somit vollständige Kontrolle über infizierte Geräte. Laut den Kaspersky-Experten nutzt der Bedrohungsakteur einige einzigartige Techniken. So werden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden kann.

Hochentwickelte Cyberspionage
Die bemerkenswerteste Eigenschaft von Slingshot ist sein ungewöhnlicher Angriffsweg. Die Experten stellten bei mehreren Opfern fest, dass die Infektion von infizierten Routern ausging. Die hinter Slingshot stehende Gruppe hatte diese anscheinend mit einer schädlichen DLL-Datei kompromittiert, die zum Download anderer schädlicher Komponenten diente. Der ursprüngliche Infektionsweg der Router selbst bleibe bislang allerdings unklar, so das Unternehmen.

(Bild: stock.adobe.com)

Der Hauptzweck von Slingshot scheint Cyberspionage zu sein. Unter anderem werden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen und weitere Desktop-Aktivitäten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermöglicht. Um sich einer Erkennung zu widersetzen und Sicherheitslösungen keine Anhaltspunkte zu liefern, verfügt der Schädling laut Kaspersky über zahlreiche Techniken.

(Bild: APA/dpa/Nicolas Armer)

Rätselraten über Hintermänner 
Vermutlich besteht die Bedrohung bereits seit geraumer Zeit, denn die Sicherheitsforscher fanden schädliche Samples, die als „Version 6.x“ gekennzeichnet waren. Die Entwicklungsdauer des komplexen Schädlings dürfte beträchtlich gewesen sein. Das gilt auch für die dafür benötigten Fähigkeiten und Kosten. Zusammengenommen ließen diese Hinweise hinter Slingshot eine „organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten“, so das Unternehmen. Hinweise im Text des Codes deuteten auf eine englischsprachige Organisation hin. Eine genaue Zuschreibung sei jedoch schwierig bis unmöglich.

Geschädigte in Afrika und Asien
Bislang waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot und seinen zugeordneten Modulen betroffen. Die Angriffe fanden vorwiegend in Kenia und im Jemen statt, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Sie richteten sich scheinbar überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.

(Bild: stock.adobe.com)

„Slingshot stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen“, erklärt Alexey Shulmin, Lead Malware Analyst bei Kaspersky Lab. „Die Funktionalität ist äußerst präzise und für die Angreifer zugleich profitabel. Das erklärt, warum sich Slingshot mindestens sechs Jahre lang halten konnte.“