Der Spion, der aus dem Router kam

C&C-Adresse aus dem Betreff

Slingshot arbeitet wie eine passive Backdoor. Auch wenn die Malware über  keine hart codierte Command-and-Control-Adresse verfügt, erhält sie diese vom Operator, indem alle Netzwerkpakete im Kernel-Modus abgefangen werden und das Vorhandensein von zwei hart codierten «Magic Constants» in der Betreffzeile verfügbar sind. Ist das der Fall, bedeutet das, dass das Paket die C&C-Adresse enthält. Anschliessend baut Slingshot einen  verschlüsselten Kommunikationskanal zum C&C auf und beginnt mit der Übertragung von Daten zu deren Exfiltration.
Vermutlich besteht die Bedrohung bereits seit geraumer Zeit, denn die Experten fanden schädliche Samples, die als «Version 6.x» gekennzeichnet waren. Die Entwicklungsdauer des komplexen  Slingshot-Toolsets dürfte beträchtlich gewesen sein. Das gilt auch für die dafür benötigten Fähigkeiten und Kosten.
Bislang war Slingshot hauptsächlich in Afrika und Asien tätig
Quelle: Kaspersky

Staatlicher Ursprung nicht ausgeschlossen

Zusammengenommen lassen diese Hinweise hinter Slingshot eine organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten. Hinweise im Text des Codes deuten auf eine englischsprachige Organisation hin. Eine genaue Zuschreibung ist jedoch schwierig bis unmöglich; zumal das Thema Attribution zunehmend selbst manipulations- und fehleranfällig ist.
Bislang waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot und seinen zugeordneten Modulen betroffen. Die Angriffe fanden vorwiegend in Kenia und im Jemen statt, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Sie  richteten sich scheinbar überwiegend gegen Privatpersonen und nicht  gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern. 
Mehr Informationen zu Slingshot finden sich im Blog von Kaspersky Lab. unter 




Das könnte Sie auch interessieren