Специалисты Лаборатории Касперского выявили очередной штамм вредоносного ПО, спонсируемого на государственном уровне — еще более продвинутый, чем остальные. Программа под названием Slingshot («Рогатка») шпионит за ПК, осуществляя многоуровневые атаки, нацеленные на роутеры MikroTik. Сначала она заменяет файл библиотеки вредоносной версией, которая загружает другие вредоносные компоненты, а затем запускает хитроумную атаку с двух направлений на самих компьютерах. Один из компонентов, Canhadr, запускает низкоуровневый программный код ядра, который дает злоумышленнику свободу действий, включая глубокий доступ к хранилищу и памяти; другой, GollumApp, фокусируется на пользовательском уровне и включает в себя код для координации усилий, управления файловой системой и сохранения вредоносного ПО.
Касперский назвал эти два элемента настоящими «шедеврами» и не без оснований. Slingshot хранит свои файлы вредоносных программ в зашифрованной виртуальной файловой системе, шифрует каждую текстовую строку в своих модулях, напрямую вызывает службы (чтобы избежать проверки системой безопасности) и даже отключает компоненты, когда задействуются криминалистические инструменты. Если и есть общий метод обнаружения вредоносного ПО или определения его функционирования, Slingshot, вероятно, имеет защиту от него. Неудивительно, что код был активен, по крайней мере, с 2012 года — и никто не знал об этом.
Вредоносная программа может эффективно украсть все, что захочет, включая данные, вводимые на клавиатуре, сетевой трафик, пароли и скриншоты. Сочетание этой утонченности с шпионской направленностью дало основания предположить, что это плод труда государственных организаций — он конкурирует с вредоносным ПО Regin GCHQ, которое шпионило за бельгийским оператором связи Belgacom. И хотя текстовая информация намекает на то, что за этим могут стоять англоязычные страны, виновник по-прежнему не известен. Жертвами «Рогатки» стали пользователи и госучреждения в ряде стран, включая Афганистан, Ирак, Иорданию, Кению, Ливию и Турцию. Все это мог организовать кто-то из разведывательного альянса «Пять глаз» (Австралия, Канада, Новая Зеландия, Великобритания и США), которые постоянно ведут слежку в странах с повышенной террористической угрозой.
Проблему Slingshot можно решить путем обновления прошивки маршрутизатора MikroTik. Тревогу вызывает, как можно догадаться, то, что маршрутизаторы других брендов также могут быть заражены. Если это так, то есть вероятность, что Slingshot получил гораздо большее распространение и по-прежнему ворует конфиденциальные данные.