Исследователи безопасности в «Лаборатории Касперского» обнаружили, что, вероятно, будет еще один штамм вредоносного ПО, спонсируемый государством. И этот будет еще более продвинутым, чем другие.
Код Slingshot шпионит за ПК через многоуровневую атаку, нацеленную на маршрутизаторы MikroTik.
Сначала он заменяет файл библиотеки вредоносной версией, которая загружает другие вредоносные компоненты, а затем запускает умную двухструнную атаку на самих компьютерах.
Программа Canhadr запускает низкоуровневый код ядра, который дает злоумышленнику свободу действий, включая глубокий доступ к памяти и памяти.
Еще одна – GollumApp – фокусируется на пользовательском уровне и включает в себя код для координации усилий, управления файловой системой и сохранения вредоносного ПО.
Касперский описывает эти два элемента как «шедевры в своем роде» и не без оснований.
Slingshot хранит свои файлы вредоносных программ в зашифрованной виртуальной файловой системе, шифрует каждую текстовую строку в своих модулях, напрямую вызывает службы (чтобы избежать проверки безопасности программного обеспечения).
К слову, вредоносный код был активен по крайней мере с 2012 года – но никто о нем не знал.
