«Лаборатория Касперского», на проходящем международном саммите — Kaspersky Security Analyst Summit (SAS), объявила об обнаружении одного из самых интересных и опасных зловредов современности под названием Slingshot (Рогатка в переводе с английского). Этот уникальный вирус оставался вне поля зрения ведущих специалистов мира кибербезопасности более нескольких лет. Первые модификации вредоносного кода датируются 2012 годом и не обнаруживались до сих пор.
В первую очередь вирус проникает на компьютеры пользователей через бреши в киберзащите персональных и общественных роутеров. В частности уязвимость была обнаружена на базе профессиональных роутеров MikroTik (производитель уже уведомлен о проблеме и оперативно справился с ней), но это далеко не единственный вендор сетевых устройств, которые были подвержены уязвимости. Киберпреступники нашли способ обмануть микропрограммы маршрутизаторов, внедрив вредоносный код в файлы DLL библиотек легальных DLL модулей, загружаемых маршрутизаторами.
Ядро самого вируса также представляет собой интереснейший образец киберпреступной мысли. Помимо того, что Slingshot использует уловки для запуска вредоносного кода в режиме ядра (модуль Cahnadr, позволяющий получить полный контроль над устройством без ограничений и без критических ошибок в виде синего экрана), он еще был дополнен модулем пользовательского режима GollumApp. GollumApp — представляет собой еще более сложный механизм (содержит более 1500 пользовательских функций), который позволял собирать скриншоты экрана, записывать все действия пользователей, буфер обмена, пароли и так далее.
Самое главное, что вирус не использовал ни одной из уязвимостей нулевого дня и мастерски скрывал следы своего присутствия как в обычной работе, так и при попытках обнаружения. Slingshot использует свою собственную файловую систему, которая шифруется и помещается в неиспользуемой части жесткого диска. «Лаборатория Касперского» настоятельно рекомендует своевременно обновлять прошивки ваших маршрутизаторов дома или на работе, чтобы предотвратить возможные киберриски в общем и Slinghost в частности. Иметь на компьютере или сетевом шлюзе программу контроля вредоносного трафика становится уже не просто прихотью гиков-параноиков, а насущной необходимостью всех пользователей любых устройств.