Trata de uma falha de segurança na porta que opera o sistema de acesso Winbox, com essa falha uma ferramenta special para esse ataque consegue obter acesso ao equipamento e depois consegue salvar o banco de dados de senhas do aparelho.
A Mikrotik prontamente verificou os fatos e no dia de hoje lançou uma correção para a falha.
É recomendado a atualização imediata do firmware para que o seu dispositivo não fique exposto.
Para isso entre em no site da Mikrotik em Downloads e faça o download do pacote npk de seu dispositivo.
Abra o winbox e conecte-se ao seu dispositivo.
Arraste o pacote para dentro da pasta Files.
Reinicie o seu dispositivo.
A versão atual é v6.42.1, então se a atualização ocorrer bem você verá no canto superior do seu winbox a versão atual.
De acordo com a empresa Kaspersky Security, foi emitido um relatório sobre uma campanha de ciberespionagem altamente sofisticada chamada Slingshot.
“O vetor de ataque usa uma maneira única para a infecção. De acordo com a pesquisa, muitas vítimas foram atacadas por roteadores comprometidos da Mikrotik. Os roteadores baixam e executam vários arquivos DLL no curso normal dos negócios. Os atacantes encontraram uma maneira de comprometer os dispositivos adicionando uma DLL maliciosa a um pacote legitimo de outras DLLs. A DLL ruim foi um downloader para vários arquivos maliciosos, que também foram armazenados no roteador.”
Segundo a Kaspersky Security foi relatado a fabricante Mikrotik que já corrigiu o problema.
O ataque é altamente sofisticado pois o carregador inicial substitui uma biblioteca legítima do Windows ‘scesrv.dll’ por uma maliciosa exatamente do mesmo tamanho. Não só isso, ele interage com vários outros módulos, incluindo um carregador de ring-0, sniffer de rede de modo kernel, packer independente de base e sistema de arquivos virtual, entre outros.
Embora, para a maioria das vítimas, o vetor de infecção para Slingshot permaneça desconhecido, conseguimos encontrar vários casos em que os atacantes conseguiram acessar os roteadores Mikrotik e colocou um componente baixado pelo Winbox Loader, um conjunto de gerenciamento para roteadores Mikrotik.Por sua vez, isso infectou o administrador do roteador.
Acreditamos que este cluster de atividade começou em pelo menos 2012 e ainda estava ativo no momento desta análise (fevereiro de 2018).
Ainda não se sabe ao certo a ordem, mas a maioria das vítimas que observaram parece ter sido inicialmente infectada através de uma exploração do Windows ou comprometimento dos roteadores Mikrotik.
Como exatamente a infecção ocorre?
O método exato utilizado pela Slingshot para explorar os roteadores em primeira instância ainda não está claro.Quando o usuário alvo executa o Winbox Loader software (um utilitário usado para a configuração do roteador Mikrotik), isso se conecta ao roteador e baixa algumas DLLs (bibliotecas de links dinâmicos) do sistema de arquivos do roteador.
Um deles – ipv4.dll – foi colocado pela APT com o que é, de fato, um downloader para outros componentes maliciosos.Winbox Loader baixa esta biblioteca ipv4.dll para o computador do destino, carrega-a na memória e a executa.
Esta DLL então se conecta a um IP e uma porta de código rígido (em todos os casos que vimos foi o endereço IP do roteador), baixa os outros componentes maliciosos e os executa.
Para executar o seu código no modo kernel nas versões mais recentes dos sistemas operacionais, que possuem o Driver Signature Enforcement, o Slingshot carrega drivers vulneráveis assinados e executa seu próprio código através de suas vulnerabilidades.
Após a infecção, a Slingshot carregaria vários módulos no dispositivo da vítima, incluindo dois grandes e poderosos: Cahnadr, o módulo do modo kernel e o GollumApp, um módulo de modo de usuário.Os dois módulos estão conectados e podem suportar-se mutuamente na coleta de informações, persistência e exfiltração de dados.
O módulo mais sofisticado é o GollumApp.Isso contém quase 1.500 funções de código de usuário e fornece a maioria das rotinas acima descritas para persistência, controle de sistema de arquivos e comunicações C & C.
Canhadr, também conhecido como NDriver, contém rotinas de baixo nível para operações de rede, IO e assim por diante.Seu programa em modo kernel é capaz de executar código malicioso sem bater todo o sistema de arquivos ou causar tela azul – uma conquista notável.Escrito em linguagem C pura, o Canhadr / Ndriver fornece acesso total ao disco rígido e à memória operacional, apesar das restrições de segurança do dispositivo, e executa o controle de integridade de vários componentes do sistema para evitar depuração e detecção de segurança.
Mikrotik é o único roteador afetado?
Algumas vítimas podem ter sido infectadas através de outras rotas.Durante a nossa pesquisa, também encontramos um componente chamado KPWS que acabou por ser outro downloader para os componentes do Slingshot.
O que os usuários de roteadores Mikrotik podem fazer para se proteger?
Que tipo de informação a Slingshot parece estar procurando?
O objetivo principal da Slingshot parece ser a ciberespionagem.A análise sugere que ele colecione screenshots, dados de teclado, dados de rede, senhas, conexões USB, outras atividades de desktop, área de transferência e muito mais.Mas, com acesso total à parte do sistema do kernel, ele pode roubar o que quiser: números de cartão de crédito, hashes de senha, números de conta de segurança social – qualquer tipo de dados.
Como a Slingshot evitou a detecção?
O ator da ameaça combinou uma série de abordagens conhecidas para protegê-lo de forma muito eficaz da detecção: incluindo a criptografia de todas as cadeias de caracteres em seus módulos, chamando serviços de sistema diretamente para ignorar ganchos de produtos de segurança, usando várias técnicas anti-bug e muito mais.
Além disso, ele pode desligar seus componentes, mas garantir que eles completem suas tarefas antes do fechamento.Este processo é desencadeado quando há sinais de um evento iminente no sistema, como um desligamento do sistema, e provavelmente é implementado para permitir que os componentes do malware do modo usuário completem suas tarefas adequadamente para evitar a detecção durante qualquer pesquisa forense.
Você disse que desabilita o módulo de desfragmentação de disco no sistema operacional Windows.Por quê?
Esta APT usa seu próprio sistema de arquivos criptografados e isso pode ser localizado entre outros em uma parte não utilizada de um disco rígido.Durante a desfragmentação, a ferramenta de desfragmentação realoca dados no disco e esta ferramenta pode escrever algo em setores onde a Slingshot mantém seus sistemas de arquivos (porque o sistema operacional pensa que esses setores são gratuitos).Isso prejudicará o sistema de arquivos criptografados.Nós suspeitamos que o Slingshot tenta desativar a desfragmentação dessas áreas específicas do disco rígido para evitar que isso aconteça.
Como é que ele filtra dados?
O malware infiltra dados através de canais de redes padrão, esconde o tráfego sendo extraído por meio de ligações legítimas, verificando os pacotes de dados do Slingshot e mostrando o usuário (e os programas dos usuários como sniffers e assim por diante) limpa o tráfego sem dados filtrados.
Utiliza explorações para vulnerabilidades de dia zero?Alguma outra façanha?
Nós não vimos a Slingshot explorar nenhum dia zero, mas isso não significa que não – essa parte de uma história ainda não está clara para nós.Mas ele explora vulnerabilidades conhecidas nos drivers para passar o código executável no modo kernel.Essas vulnerabilidades incluem CVE-2007-5633;CVE-2010-1592, CVE-2009-0824.
Qual é o perfil da vítima e a geografia alvo?
Até agora, os pesquisadores viram cerca de 100 vítimas da Slingshot e seus módulos relacionados, localizados no Quênia, Iêmen, Afeganistão, Líbia, Congo, Jordânia, Turquia, Iraque, Sudão, Somália e Tanzânia.A maioria das vítimas parece ser alvo de indivíduos em vez de organizações, mas existem algumas organizações governamentais e instituições.O Quênia e o Iêmen representam a maioria das vítimas observadas até à data.
O que sabemos sobre o grupo por trás do Slingshot?
As amostras maliciosas investigadas pelos pesquisadores foram marcadas como “versão 6.x”, o que sugere que a ameaça existe há um longo período de tempo.O tempo de desenvolvimento, habilidade e custo envolvidos na criação do conjunto de ferramentas complexas do Slingshot provavelmente será extremamente elevado.Em conjunto, essas pistas sugerem que o grupo por trás da Slingshot provavelmente será altamente organizado e profissional e provavelmente patrocinado pelo estado. As pistas de texto no código sugerem que é de língua inglesa.Algumas das técnicas utilizadas pela Slingshot, como a exploração de drivers legítimos e vulneráveis, já foram vistas anteriormente em outros malwares, como White e Gray Lambert. No entanto, a atribuição precisa é sempre difícil, senão impossível de determinar, e cada vez mais propensas a manipulação e erro.
Você ainda não tem um bom antivírus?
Saiba que um sistema de antivírus pode ajudar você a manter seu computador seguro e assim não comprometer seus dados e nem equipamentos que você tem acesso.
Apesar de hoje ser bastante conhecido, ainda encontro empresas que não possuem uma politica de backup segura ou ainda que nem possuem um sistema de backup.
Desde empresas pequenas até grandes corporações é possível notar a falta de preparo da equipe de TI ou a total desinformação com relação a segurança de seus dados.
Essa é uma realidade para diversos negócios, como advocacia, comunicação, marketing e advocacia, pequenos comércios, restaurantes, clinicas. Existe em todas essas áreas à necessidade de escalar a capacidade de backup.
Estamos na era digital, onde você efetua compras de qualquer lugar do mundo que lhe permita se conectar a internet, difícil encontrar um ramo de negócio que você não precise armazenar um XML, ou que não gere dados de alto grande de relevância para o negócio.
E essa grande necessidade de estarmos conectados e da facilidade de efetuarmos grande parte de nossas tarefas pela internet, nos expõe também a riscos que acompanham a internet desde seu surgimento como vírus, spywares,worm, malware ou o mais recente ransoware.
