Slingshot, un malware espion embarqué dans les routeurs

Slingshot

Il y a quelques heures, les équipes de Kaspersky Lab ont présenté leur dernière découverte. Celle-ci prend la forme d’un malware espion présent dans les routeurs MikroTik depuis plusieurs années et a été baptisée Slingshot. Il semblerait qu’il ait été utilisé par certains Etats pour en espionner d’autres !

Slingshot, un bien curieux malware !

Depuis plus de 5 ans, de nombreux routeurs de MikroTik seraient infectés par un malware découvert tout récemment par les chercheurs en sécurité de Kaspersky Lab.

Baptisé Slingshot, ce malware est plutôt curieux puisqu’il a besoin de télécharger des fichiers pour fonctionner. D’abord, il télécharge ainsi un fichier de la bibliothèque logicielle du routeur qui l’embarque. Dès lors que ce fichier a été installé mais aussi activé, un second téléchargement est déclenché et cette fois, ce sont deux malwares (Canhadr et GollumApp) qui entrent en jeu pour une double-attaque totalement inédite.

Le premier a pour mission de s’attaquer au système d’exploitation de sa cible afin d’ouvrir un accès à la mémoire et à la mémoire vive de la machine. Le second fait office de simple gestionnaire et est donc capable de rendre inopérant le premier pour rester discret.

C’est d’ailleurs probablement ce qui explique que Slingshot est parvenu à rester dans l’ombre de longues années.

Des attaques extrêmement ciblées

Si vous redoutez qu’un de vos routeurs ne soit infecté par Slingshot, rassurez-vous, les attaques sont extrêmement ciblées. Et tant mieux à vrai dire parce que ce malware peut causer d’importants dégâts.

En effet, une attaque de Slingshot peut permettre d’aspirer toute sorte de données en masse puisque si les mots de passe peuvent être dérobés, le malware peut aussi se charger de livrer des captures d’écran voire même d’enregistrer ce qui a été saisi sur le clavier. Autrement dit, ce malware est un véritable espion au service de ceux qui l’ont créé.

Pour Kaspersky, c’est d’ailleurs un Etat qui pourrait être à l’origine de ce malware. Pour s’avancer ainsi, le spécialiste en sécurité informatique a étudié le ciblage de Slingshot et il s’avère que la plupart des routeurs infectés se situe en Turquie, en Irak ou encore en Afghanistan, soit dans des pays où règne une réelle instabilité politique.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*