Slingshot problemDenna veckas nyhet hämtar vi från bland annat thehackernews.com som den 8 mars publicerade ett inlägg om en sofistikerad grupp av hackers som lyckats verka i det fördolda sedan åtminstone 2012 och som ligger bakom ett avancerat program kallat Slingshot. Det har framförallt drabbat nätverk i några länder i Afrika vilket är intressant eftersom det inte finns så mycket pengar att tjäna på databrottslighet i väldigt fattiga länder. Det Ryska företaget Kaspersky Labs ligger bakom upptäckten och har antytt att det kanske inte är fråga om hackers, så som vi brukar definiera begreppet, som ligger bakom detta. Slingshot är en slags spionkampanj och i den texten kommer vi bland annat att skriva om hur programmet fungerar och varför det har blivit så uppmärksammat.

Vad är och vad gör Slingshot?

Hjärtat i Slingshot är ett APT-program. APT står för advanced packaging tool, packethanterare helt enkelt. Det är en typ av verktyg som används för att installera mjukvara i en process där hämtning av, konfiguration och installation av mjukvara automatiseras. Det handlar alltså om en ganska komplicerad kedja av sammanlänkade moment och det finns många möjligheter för hackers att påverka en del av processen i vinningssyfte. Slingshot kan bäst beskrivas som en metod som leder till så kallad Kernel access, alltså i princip full kontroll över de drabbades datorer. De som utvecklat Slingshot har exploaterat en brist i routrar från hårdvarutillverkaren MikroTik som ett första steg mot att infektera offrets datorer. Ett av routerns DLL bibliotek har sedan bytts mot filer som laddas rakt in i offrets dator under särskilda omständigheter.

Kaspersky Lab har framfört teorin att det kan finnas en koppling mellan Wikileaks, som vi skrivit om tidigare, och Slingshot eftersom det i Wikileaks “Vault 7” finns en beskrivning av hur man tar sig in i routrar på detta sätt. Sådan information kan läsas som en slags recept och vi ser idag många exempel på brottslingar som inte är experter på datasäkerhet men som klarar att dra nytta av den här typen av information. Tidigare har metoder att exploatera säkerhetsluckor i operativsystem varit något som man hemlighållit för att kunna tjäna pengar på det. Nu förekommer det att information och program säljs eller att upplysningarna bara offentliggörs eftersom “information wants to be free”. Det ska dock sägas att upphovsmännen bakom Slingshot kan ha utvecklat sin metod oberoende av Wikileaks och att mycket tyder på att de troligen arbetat från grunden och inte med ett enkelt recept.

Routrar är ofta utsatta för risker

Det är inte bara Slingshot som använt routrar som en väg in i användarnas datorer även om det tidigare mest handlat om angrepp som det varit enklare att försvara sig mot. Routern (enhet som distribuerar nätverk) är ofta väldigt utsatt för attacker, bland annat för att den i regel alltid är påslagen och uppkopplad mot internet. Data du skickar till eller hämtar från nätet går vi routern. Routrar anses vara en del av ett nätverk där man kan gömma sig undan säkerhetskontroller. Många har koll på sina datorer men är inte ens medvetna om att de är utsatta för risker vi routern. Eftersom routrar ofta står i förbindelse med flera enheter kan en “infektion” sprida sig snabbt den vägen.

De routrar som Slingshot konstruerats för används i nätverk med flera dussin datorer. Det är därför rimligt att anta att till exempel, universitet, internetcaféer och företag varit målet och att de som ligger bakom denna kampanj därmed fått möjlighet att påverka ett mycket stort antal datorer som delat nätverk via en drabbad router. En ny router är i regel säkrare än en äldre modell men mer avancerade tips på hur man säkrar sin router faller utanför den här textens ramar. Det är dock ett intressant område som vi kan få anledning att återkomma till här på Protectme. Det ska också sägas att MikroTik, företaget vars routrar exploaterats, nu åtgärdat problemet. Deras enheter laddar inte längre ner program på ett sätt som kan exploateras genom Slingshot.

Vad är Kaspersky Labs?

Kaspersky Labs som alltså identifierat och varnat för Slingshot är ett ryskt företag grundat 1997 som erbjuder många olika tjänster och produkter inom datasäkerhet. De omsätter flera hundra miljoner årligen och har bland annat verksamhet i Kista. Det är helt enkelt en stor och viktig aktör inom datasäkerhet som bidragit med information om digitala säkerhetshot. På företagets hemsida https://www.kaspersky.com hittar du mycket information om Slingshot och andra aktuella ämnen inom datasäkerhet. Företaget är sedan 2017 bannlyst från alla amerikanska statliga nät eftersom amerikanska myndigheter är rädda för att programvara från det ryska företaget ska göra dem sårbara för spionage orkestrerat från Kreml. Gränsen mellan risk och riskprevention kan vara hårfin när vi talar om datasäkerhet och det är en värld som liknar spionage och kontraspionage under kalla kriget.

Det råder dock ingen tvekan om att Slingshot är ett reellt hot och att Kaspersky Labs gjort ett gediget arbete som lett fram till ett viktigt resultat i det här fallet. Amerikanska myndigheter har heller inte det allra största förtroendekapitalet efter avslöjanden i bland annat Wikileaks. Det är svårt att veta vem man ska lita på idag när datasäkerhet blivit en arena där allt från enskilda pojkrumshackers till statliga myndigheter gör upp om känslig data och bevakar samhällsbärande funktioner. Kaspersky menar sig vara helt oberoende i relation till den ryska regeringen.

Varför har Slingshot blivit så uppmärksammat?

Nästan dagligen upptäcks nya hot mot våra datorer, och vi har skrivit om flera uppmärksammade fall i den här bloggen. Vad är det som gör att just Slingshot blivit förstasidesstoff i många nyhetskanaler som bevakar detta område trots att det framförallt är datorer i tredje världen som blivit angripna? Framförallt beror det på att den här spionkampanjen är så sofistikerad att även experterna häpnar. En majoritet av alla program som arbetar i Kernel mode orsakar ofta “blue screen” varpå datorn kraschar. Användaren märker alltså snabbt att något är fel och kan vidta åtgärder, i regel innan någon större skada är skedd. Slingshot kraschar dock inga datorer och är därför svårare att upptäcka.

Modulen “GollumAp” som ingår i Slingshot innehåller omkring 1500 funktioner och är resultatet av ett mycket omfattande arbete. Slingshot kan bland annat ta screenshots, leverera information om nätverk, lösenord och logga skrivbordsaktivitet. Detta utan exploatera tidigare kända säkerhetsluckor. Slingshot kan också stänga av funktioner vid tecken på att datorn det infekterat genomsöks. En anledning till att Kaspersky går ut med information om detta är att de erbjuder produkter som innebär ett skydd mot Slingshot och liknande hot. Att de upptäcker hot skapar värde för dem i form intäkter och marknadsföring.

Slingshot verkar inte vara ett så kallat ransomware – det är ingen som krävt pengar för att ta bort detta program från datorer som råkat ut för problem på grund av det. Så fungerar annars en hel del virus idag. Istället är detta fråga om ett spionprogram som legat väl skyddat djupt inne i de drabbades system och som inte gjort något som helst väsen av sig. Det faktum att Slingshot troligen inte kan ha gjorts av en grupp vanliga hackers innebär att många, även Kasparskys analytiker, nu spekulerar i vem eller vilka som kan tänkas ha kunskapen och incitamentet.

Vem ligger bakom Slingshot?

Kaspersky menar att Slingshot är så sofistikerat att en aktör med mycket stora resurser tycks ligga bakom det hela. Infekterade nätverk har upptäckts i bland annat Yemen, Kenya, Afghanistan, Somalia, Kongo, Irak, Libyen och Turkiet. Det handlar alltså om länder med islamistisk aktivitet och en teori är att Slingshot helt enkelt använts för att övervaka data i syfte att förebygga terrorism. Det skulle kunna betyda att det är amerikanska myndigheter som står bakom Slingshot. Innan man helt och fullt tar detta till sig är det viktigt att komma ihåg att Kaspersky är ryskt och att det möjligen kan ligga i deras intresse att misstankarna ska gå just i den riktningen. Oberoende experter som tagit del av informationen har sagt att det egentligen inte finns något som indikerar vilket land som ligger bakom detta. Om det nu verkligen handlar om en statsmakt snarare än om en mycket skicklig grupp hackers som gjort detta i ett syfte som ännu är höljt i dunkel.

Anledningen till att man bedömer att det är en statsmakt som ligger bakom Slingshot är helt enkelt att det inte är så många som har den förmåga som krävs och de som har den kostar mycket att anlita. Det r inte rimligt att anta att hackers eller säkerhetsexperter på elitnivå skulle ha jobbat så mycket med att ta sig in på datorer i fattiga länder. Slungan är ett vapen som sägs ha sitt ursprung i Ryssland och det är inte särskilt förvånande att det finns de som anklagar just ryssarna för att ligga bakom Slingshot, som alltså betyder slungskott. Ryssland är i dagsläget värre utsatt än USA för islamistisk terrorism och man har egentligen legitima skäl att hålla ett öga datakommunikationen i områden som dessa.

Kvalificerat arbete ligger bakom

Många har nog levt i illusionen att det är isolerade hackers eller grupper av kodare på fel sida av rättssystemet som ligger bakom de värsta säkerhetsintrången. Så är det kanske men datasäkerhet har blivit ett stort och svåröverskådligt område med många aktörer som agerar utifrån agendor som svåra för lekmän att förstå. Slingshot är ett otroligt avancerat spionprogram som främst infektera datorer i länder i tredje världen. Så avancerat att den teori som fått mest spridning efter det att ryska säkerhetsexperter avslöjat programmet är att en statsmakt ligger bakom detta. Kanske för att övervaka internettrafik relaterad till terrorism och extremism.

Behöver du hjälp?

Använd formuläret och skicka ett mail till oss så kontaktar vi dig inom kort.

Not readable? Change text.