Slingshot – la crème de la crème du malware


C’est toujours accidentellement que l’on découvre de nouvelles choses et les grandes inventions de ce monde n’en sont pas exemptes. Toutefois, c’est aussi accidentellement que l’on découvre des malwares mais pour le coup, on a bien identifié ce qui pourrait être le malware le plus puissant jamais développé. Alors heureux accident ou véritable catastrophe, voyons voir tout cela.

Son nom ne vous dit peut-être rien pourtant il pourrait s’avérer être un adversaire redoutable voire imbattable, Slingshot. Car pour impressionner les chercheurs de Kaspersky Lab. qui n’en sont pas à leur coup d’essai, il en faut beaucoup, vraiment beaucoup. En effet, présenté lors du congrès de la firme à Cancun au Mexique, les chercheurs pensent qu’il possède un degré de sophistication extrêmement élevé et jamais égalé à ce jour.

Découvert accidentellement donc, il est présent dans des routeurs de marque MikroTik et possède un mode de fonctionnement assez nouveau. Les routeurs infectés téléchargent ainsi des fichiers .dll avant de les exécuter. Le premier agit comme un cheval de Troie afin d’ouvrir la porte à deux autres fichiers malveillants. Rien d’extraordinaire jusqu’ici me direz-vous car il agit comme n’importe quel malware présent dans le monde virtuel mais attendez plutôt de lire la suite.

Il s’agit de GollumApp et Cahnadr qualifiés de « chefs-d’œuvre » par l’éditeur russe. Le premier possède 1500 fonctions de code utilisateur tandis que le second, exécuté par le kernel de l’OS, permet un contrôle distant total de la machine infectée.

Les possibilités d’exploitation sont donc absolument gigantesques. Captures d’écran, keylogger, collecte de données de réseau, de mots de passe, du presse-papier etc. Slingshot est par ailleurs difficilement détectable ajoute Kaspersky grâce notamment à son propre espace de fichiers chiffrés stockés sur le disque dur de l’ordinateur infecté et des leurres pour piéger les logiciels de sécurité. En clair, c’est un petit bijou qui ne fait rire que le ou leur créateur car pour le reste c’est une bombe à retardement où personne ne sait quel va en être la déflagration.

Mais le plus étonnant dans cette histoire, c’est que Slingshot serait actif depuis cinq ans environ puisque son code indique une version 6.x. Autant d’éléments sophistiqués qui font penser à une attaque ciblée provenant d’un état, estime Kaspersky.  D’ailleurs, une centaine de routeurs dans des pays sensibles comme l’Irak, la Turquie ou encore l’Afghanistan ont été infectés. En outre et sans se mentir, un individu seul ou même extrêmement talentueux ne peut créer un malware aussi puissant et vicieux sans compter sur l’aide d’amis puissants.

Si MikroTik affirme être en train de patcher ses routeurs, l’éditeur estime que d’autres fabricants pourraient être touchés. Encore une affaire à suivre donc dans nos colonnes et rappelez-vous au passage de toujours mettre à jour votre antivirus à jour et de rester prudent sur la toile, on ne sait vraiment jamais qui nous observe…

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s

Créez un site Web ou un blog gratuitement sur WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :