Slingshot: Malware, die über Router die Kontrolle übernimmt

„Slingshot“ wurde die Malware getauft. Sie ist in der Lage, im Kernel-Modus zu laufen und erhält somit vollständige Kontrolle über infizierte Geräte. Eindringen ins System tut die Malware über kompromittierte Router. 

Laut den Kaspersky-Experten nutzt der Bedrohungsakteur einige einzigartige Techniken. So werden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden kann. Die Kaspersky-Experten kamen Slingshot über den Fund eines verdächtigen Keylogger-Programms auf die Spur, wie es in dem Blogeintrag der Experten heißt. 

Cyberspionage

Aus Sicht von Kaspersky ist der Angriffsweg „höchst ungewöhnlich“. Der Hauptzweck von Slingshot scheint Cyberspionage zu sein. Unter anderem werden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen, weitere Desktop-Aktivitäten und Clipboard-Daten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermöglicht. Slingshot arbeitet wie eine passive Backdoor. 

Bislang waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot und seinen zugeordneten Modulen betroffen. Die Angriffe fanden vorwiegend in Kenia und im Jemen statt, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Sie richteten sich scheinbar überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.