卡巴斯基在一份新报告中警告称,发现了针对互联网路由器的恶意软件。这是非常复杂的,因为它似乎能够检测防病毒软件的存在,并且在扫描时非常谨慎。因此,自 2012 年以来,它一直处于隐藏状态。其复杂性以及针对世界不稳定地区的路由器的攻击,使专门从事 IT 安全的公司怀疑有一个国家隐藏在攻击背后。
卡巴斯基刚刚发现非常复杂的恶意软件,针对某些 MikroTik 品牌路由器,但也可能针对其他品牌路由器。这种名为 Slingshot 的恶意软件是使用修改后的固件版本引入目标路由器的。一旦被感染,Slingshot 就可以开始将另外两个恶意软件直接下载到本地网络上的目标 PC。 Canhadr 允许您吸收通过 RAM 的所有内容并访问文件系统。另一种恶意软件 GollumApp 用于控制恶意软件。
卡巴斯基:恶意软件已在 MicroTek 路由器中隐藏 5 年
最终,对数据的访问是完全的:密码、键盘记录、屏幕截图等。数据在恶意软件创建的虚拟磁盘中加密。它极其复杂和独特的地方在于,它能够检测防病毒软件的存在和活动,并使其某些功能处于休眠状态以避免检测。这是一个非常有效的策略,因为它允许恶意软件在五年内保持隐身状态。另一个令人不安的细节:弹弓主要在伊拉克、土耳其和阿富汗等不稳定国家被发现。
由于其复杂性和针对性,卡巴斯基怀疑 Slingshot 背后隐藏着一个国家。这家俄罗斯安全公司认为,相同的恶意软件或变体可能会感染其他品牌的路由器。实际上使检测极其困难的是受感染路由器的针对性极强的样本(仅 MicroTek 就检测到了大约一百个受感染路由器)。
