Popularne routery zarażały Windowsa: rośnie rozmach szpiegowskich operacji
Ataki na routery to internetowa codzienność – te stalepodłączone urządzenia są przecież pełne niezałatanychpodatności, a ich przejęcie pozwala na ingerowanie w ruch sieciowyofiary. Jak się jednak okazuje dzięki pracy badaczy Kaspersky Lab,można jednak pójść dalej. Ujawniona przez nich operacja Slingshotto spektakularne wykorzystanie routerów do zarażania i przejmowaniapecetów w sieciach lokalnych. Co gorsza, chodzi o znane i cenionetakże i u nas routery łotewskiej firmy MikroTik.
12.03.2018 15:32
W operacji Slingshot, która prowadzona miała być w tajemnicyprzez przynajmniej sześć ostatnich lat, wykorzystano pewnąnietypową właściwość łotewskich routerów. Podczas gdywiększość innych producentów pozwala zarządzać swoimi routeramijedynie przez panele webowe, w ostateczności przez polecenia powłokidostępne po SSH, sprzętem MikroTika można zarządzać za pomocączegoś, co pamięta złote lata Microsoftu – aplikacji win32 onazwie Winbox.
Ta niewielka aplikacja pozwala na zdalne administrowanie systememoperacyjnym routera (RouterOS) poprzez szybki i prosty interfejs,niewątpliwie szybszy niż te wszystkie konfiguracyjne stronyinternetowe. Wszystkie oferowane funkcje są zgodne z tym, co możliwejest za pomocą konsoli, tak więc popularność Winboksa wśródużytkowników jest spora, tym bardziej, że jego instalacjaprzebiega bezpośrednio z routera – wystarczy wpisać wprzeglądarce jego adres IP w sieci lokalnej i kliknąć odpowiednilink na stronie powitalnej webowego interfejsu RouterOS-a.
Napastnicy prowadzący operację Slingshot w jakiś sposóbzdołali zainfekować te pliki instalacyjne Winboksa, aby za ichpomocą zarażać komputery pracujące pod kontrolą Windowsa.Podczas instalacji w systemie pojawiała się biblioteka .dll, którejwywołanie przez aplikację staje się przyczółkiem dla dalszegoataku. Oprócz pobrania z serwerów producenta normalnych komponentówWinboksa, pobrane zostają też liczne moduły spyware, działającez normalnymi uprawnieniami użytkownika. To tzw. GollumApp,gromadzące hasła, informacje ze schowka, obraz z kamery, robiącezrzuty ekranowe czy śledzące urządzenia podłączane po USB.
To jednak nie wszystko. Na zainfekowanym systemie zdobywa sięstałą obecność za pomocą sterownika Ndriver (Cahnadr), którydziałając z uprawnieniami kernela w praktyce oddaje napastnikompełną kontrolę nad komputerem ofiary. Zawiera on mechanizmyneutralizujące oprogramowanie antywirusowe, utrudniającedebugowanie, monitorujące aktywność sieciową i dyskową czyukrywające własny ruch internetowy. Badacze z Kaspersky Labzachwycają się Ndriverem – napisany w czystym C sterownikwszystkie te operacje realizuje niskopoziomowo, unikając wykrycia,ale zarazem unikając popsucia systemu plików czy wywołanianiebieskiego ekranu śmierci. Innymi słowy, zapewniono w nim pełnąkompatybilność z mechanizmami stosowanymi przez sam kernelWindowsa.
Do dzisiaj pozostaje niejasne, jak malware pojawiło się narouterach MikroTika, popularnych przecież dzięki atrakcyjnej ceniew wielu krajach byłego bloku wschodniego i krajach rozwijającychsię. Samo Kaspersky Lab spekuluje, że wykorzystać do tego możnabyło jedno z ujawnionych przez WikiLeaks w wycieku Vault7 narzędziCIA, atak o nazwie ChimayRed. Samo MikroTik jednak wyjaśnia, żeChimayRed działa tylko na starszych wersjach firmware routerów, a wdodatku wymaga wcześniejszego wyłączenia zapory sieciowej routera,w domyślnej konfiguracji oczywiście włączonej.
Jasne za to pozostaje główne zastosowanie Slingshota.Najwyraźniej służył on przede wszystkim do infekowania kafejekinternetowych, wciąż popularnych poza Zachodem. Widać to po danychtelemetrycznych z Kaspersky Security Network, która wychwytywałaoznaki infekcji w sieciach liczących tuziny komputerów, gdziezarazem jednak korzystano z licencji domowych na oprogramowanieKasperskiego. Jak retorycznie pyta dyrektor badawczy Kaspersky Lab,Costin Raiu, kto ma w domu 30 komputerów?
Ten ślad wskazujący na CIA toraczej poszlaka, ale nie jest to jedyna poszlaka, która każesądzić, że za atakami mogą stać Stany Zjednoczone albo któryśz ich anglojęzycznych sojuszników (Five Eyes, sojusz pięciorgaoczu). Z analiz kodu złośliwego oprogramowania wynika, że jegoautorzy używali raczej angielskiego niż np. rosyjskiego czychińskiego. Inną poszlaką jest też geograficzny zasięg operacji– zarażone systemy wykryto w Kenii, Jemenie, Iraku, Afganistanie,Somalii, Libii, Kongo, Turcji, Jordanii i Tanzanii. W wielu tychkrajach USA prowadziły otwarte operacje wojskowe, w innych zaśoperacje bardziej delikatnej natury.
Cynicznie nastawieni internaucizwrócą zapewne też uwagę na to, kto popsuł Slingshota. KasperskyLab oczywiście zapewnia, że nie ma nic wspólnego z politykąKremla, ale można powiedzieć, że ujawnienie tej operacji przynosiwizerunkowe korzyści właśnie Rosjanom: z jednej strony mieszaszyki amerykańskim partnerom,z drugiej zaś przypomina światu, że nawet jeśli Rosja stoi zajakimiś cyberatakami, to nie jest przecież jedyna w tej brudnejgrze wywiadów.