Эксперты компании "Лаборатория Касперского" сообщили об обнаружении опасного троянца Slingshot, который заражает систему через многоуровневую атаку, нацеленную на сетевые маршрутизаторы производства MikroTik. За его созданием, предполагают аналитики "ЛК", стоят некие государственные структуры.
Первым Slingshot поражает роутер, подменяя одну из его библиотек на вредоносную копию. Она, в свою очередь, подгружает другие "плохие" компоненты и запускает двустороннюю атаку на самих ПК.
Крайне "живучий" троянец состоит из двух частей. Первая — Canhadr — исполняет низкоуровневый код ядра, предоставляя злоумышленнику полную свободу действий, включая безграничный доступ к накопителю и памяти. Вторая — GollumApp — запускается на уровне пользователя: она управляет файловой системой и поддерживает бесперебойную работу "вредоноса".
Творение хакеров аналитики назвали "шедевром": Slingshot хранит зараженные файлы в зашифрованной виртуальной файловой системе, шифрует каждую текстовую строку в своих модулях, а при угрозе обнаружения даже способен отключать свои компоненты. Из-за способности маскироваться и прятать следы "мальварь" оставалась незамеченной как минимум с 2012 года, подчеркнули в "ЛК".
По словам специалистов, "умный" вирус может шпионить за пользователем, делать скриншоты, записывать нажатия кнопок на клавиатуре, собирать пароли, данные из буфера обмена и отсылать эту информацию киберпреступникам.
Сложность "шедеврального" кода ставит под сомнение, что Slingshot был разработан независимыми разработчиками. Скорее всего, вредоносная программа была создана при поддержке госструктур. В "ЛК" допускают, что Slingshot могли пользоваться члены клуба "Пяти глаз" (США, Великобритания, Австралия, Канада и Новая Зеландия) для шпионажа за странами повышенной террористической опасностью.