Uus pahavara, mis võtab arvuti üle täielikult kontrolli, on “meistriteos”

Kaspersky turvaanalüütikud on avastanud keeruka küberspionaažikampaania. Koodnimega Slingshot toimib pahavara mitmekihilise rünnaku läbi MikroTik kaubamärgi ruuteritega varustatud arvutitele. Nakatumine toimub seadmete installis sisalduvate seaduspakettidega segatud DLL-failide kaudu. See fail avab ukse teistele ruuterisse salvestatud pahatahtlikele elementidele.

Turvafirma väidab, et pahavaral on kaks komponenti, mida peetakse “meistriteosteks”. Esimene on tuum nimega Cahnadr, mis annab ründajale täieliku, piiramatu kontrolli nakatunud arvuti üle. Selle jõudluse paremaks mõistmiseks blokeerib enamik kernelirežiimis töötavaid pahavara arvuti, kuid Cahnadr töötab ilma “sinise ekraanita”. Teine komponent on kasutajamoodul nimega GollumApp, mis sisaldab umbes 1500 koodifunktsiooni.

Kaks moodulit võimaldavad teil muu arvutitegevuse kõrval koguda ekraanipilte, pääseda juurde teabele klaviatuuride, võrkude, paroolide kohta, ütles Kaspersky avalduses. Kõige üllatavam oli selle kaitsemehhanism avastamisest hoidumiseks, muutes selle veelgi ohtlikumaks. Slingshotil on krüpteeritud failisüsteem, mis on hostitud kõvaketta kasutamiskõlbmatus osas ja on võimeline selle komponendid välja lülitama, kui tuvastab pahavaravastase skannimise tunnused.

Kaspersky ütles, et ehkki MikroTik on vajalikud parandused teinud, usuvad eksperdid pärast aruannet, et Slingshot võib ohustada ka teisi seadmeid.