卡巴斯基揭发一精心藏匿6年的间谍行动Slingshot

卡巴斯基实验室（Kaspersky Lab）上周披露一自2012年就开始活动的间谍行动Slingshot，这是一个非常灵活且运行良好的攻击行动，且一直到今年才被发现，迄今已有接近100名受害者，目前看来集中在中东与非洲地区。

根据该实验室的分析，黑客是借由入侵MikroTik路由器再黑进许多受害者计算机，一般而言，路由器会下载与执行各种DDL文件，黑客则在某个合法的DDL文件中嵌入恶意DDL ，该DDL之后会再陆续下载其它存放于路由器上的恶意文件。

Slingshot是在核心模式执行恶意文件，而且会搜索计算机上有漏洞的驱动程序来寄居，使其不被系统更新所影响。它有两个主要程序，一是名为Cahnadr的核心模式模块，能于核心模式中运行，赋予黑客完整的权限，且在执行时不会造成蓝屏，另一个则是GollumApp使用模式模块，内置近1,500种功能。

在上述两个模块的协同运行下，黑客将能搜集受害者的屏幕截屏、键盘输入数据、网络数据、密码、桌面活动、剪贴板或其他用户行为，而且完全没有开采任何的零时差漏洞。

Slingshot真正危险之处在于它运用了许多技俩来躲避侦测，甚至会在发现到系统正进行鉴识研究时关闭恶意组件，还在硬盘中使用了自己的加密文件系统。

研究人员指出，Slingshot行动非常高明，从技术上来看它以非常妥善的方式解决了所有的问题，深思熟虑地结合了各种新、旧组件并着眼于长期运行，应出自资源丰富且能力高强的黑客之手，它既灵活又可靠，还能有效防范侦测，难怪会到6年后才被发现。

MikroTik已在接获通知后修补了该问题，值得注意的是，研究人员相信Slingshot行动应该也利用了其它品牌的路由器。