[gull] Slingshot
Marc SCHAEFER
schaefer at alphanet.ch
Tue Mar 13 19:10:39 CET 2018
On Tue, Mar 13, 2018 at 09:39:50AM +0100, Daniel Cordey wrote:
> Ah, ah... ça commence à devenir sérieux... Mais comment ce malware
> peut-il s'installer ? Grosse question...
Il semblerait que c'est une attaque 100% Microsoft, mais qui utilise
les routeurs MikroTic comme de grosses clés USB. En bref, l'utilisateur
installe un outil propriétaire de management non pas depuis un site
certifié, mais depuis son propre routeur (un peu comme ces horribles
clés 3G/4G Huawei qui montraient à Microsoft Windows un faux lecteur
CD-ROM interne installant une version obsolète des pilotes sous Microsoft).
Si le routeur contient la version vulnérable (apparemment préinstallée
parfois), ensuite on a un keylogger et autres sur son poste Microsoft.
Cela n'a pas été détecté pendant 6 ans.
Il semble aussi qu'un ordinateur Microsoft infecté peut remplacer
à son tour le logiciel propriétaire mis à disposition sur le routeur
MikroTik pour des infections de systèmes Microsoft ultérieurs.
L'attaque est, comme STUXnet il y a quelques années, intéressante car
elle combine plusieurs vecteurs d'attaque (Microsoft, automates SCADA
Siemens; ici MikroTik/Linux et Microsoft: encore que finalement l'attaque
cible est 100% Microsoft ici, les routeurs MikroTik semblent juste
être utilisés pour l'infection, comme des grosses clés USB pour STUXnet:
ils ne semblent pas exécuter eux-mêmes de code vulnérable).
Ce qui semble faire peur aux vendeurs d'anti-virus Microsoft c'est qu'ils
ne l'ont pas détecté. La possibilité d'écrire des virus non détectables
est pourtant documentée depuis longtemps.
Référence
https://securelist.com/apt-slingshot/84312/
More information about the gull
mailing list