Router met verschillende ports

Gehackte MikroTik-routers werden ingezet voor spionage

Laatst bijgewerkt: 28 januari 2019
Leestijd: 2 minuten, 7 seconden

Het Russische anti-virusbedrijf Kaspersky Lab heeft een geavanceerde spionageaanval ontdekt die uitgevoerd wordt via gehackte MikroTik-routers. In een rapport geeft Kaspersky Lab informatie over hashes van bestanden en domeinen waar de malware gebruik van maakt. Het bedrijf vergelijkt de aanval met eerdere spionageaanvallen Regin en Sauron, die in 2014 en 2016 werden ontdekt. Qua complexiteit zouden ze op elkaar lijken.

Slingshot

De groep achter de spionage staat bekend als Slingshot. Slingshot is een hackersgroep die zich voornamelijk op cyberspionage richt. Volgens Kaspersky Lab bestaat de groep al sinds 2012 en is hij nog steeds actief. Er is weinig bekend over de groep, maar vermoedelijk worden de hacks gesponsord door een overheid.

Slachtoffers van de spionage bevonden zich voornamelijk in het Midden-Oosten en Afrika. Kaspersky Lab heeft zo’n 100 slachtoffers geïdentificeerd uit Kenia, Yemen, Afghanistan, Libië, Congo, Jordanië, Turkije, Irak, Soedan, Somalië en Tanzania. De meeste slachtoffers bevonden zich in Kenia en Yemen. Het ging voornamelijk om individuen, maar ook instellingen en overheidsinstanties werden getroffen.

Gehackte routers

Om MikroTik-routers te beheren kunnen klanten gebruik maken van het programma WinBox, dat op de router staat. WinBox downloadt een aantal dll-bestanden van het bestandssysteem van de router die direct in het geheugen van de computer geladen worden.

Om de computers van slachtoffers te infecteren heeft Slingshot een kwaadaardige variant van deze dll-bestanden op de routers gezet. Het kwaadaardige bestand heet ipv4.dll. Dit bestand wordt vervolgens gedownload en uitgevoerd door WinBox. Het bestand bevat een Trojan-downloader die malware op de computer installeert.

Werkwijze onbekend

Hoe Slingshot het voor elkaar gekregen heeft om toegang te krijgen tot de routers en het kwaadaardige bestand erop te zetten is nog niet duidelijk. Wel bekend is dat het dll-bestand verschillende modules downloadt, waarvan een kernel-module en een user-mode-module. Deze modules verzamelen gegevens en zorgen ervoor dat het systeem onbeveiligd blijft, waardoor de malware uitgevoerd kan blijven worden. De code wordt met kernel-rechten uitgevoerd, waardoor die volledige controle heeft over het systeem en niet gedetecteerd wordt door anti-virusscanners.

Spionage

Na onderzoek bleek dat de malware van Slingshot een enorme hoeveelheid gegevens van het slachtoffer verzamelt en terugstuurt naar de aanvallers. Het gaat dan bijvoorbeeld om wachtwoorden, screenshots, keyboarddata en usb-verbindingen. De malware schakelt ook de software om de hardeschijf te defragmenteren uit. Slingshot maakt namelijk gebruik van een bestandssysteem dat zich op een ongebruikt deel van de hardeschijf kan bevinden en door defragmenteren zou dat bestandssysteem beschadigd kunnen raken.

MikroTik laat weten dat de laatste versie van WinBox het bestand ipv4.dll niet meer naar de computer downloadt. Daardoor kan de malware niet meer uitgevoerd worden.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past