Slingshot: así es el sofisticado e increíble ataque de ciberespionaje que se gesta desde un router

Imaginen una herramienta diseñada específicamente para tareas de ciberespionaje, la cual es capaz de acceder a nuestro ordenador usando el router como puerto de entrada. Y una vez dentro, obtener privilegios del sistema para tener control de todo lo que sucede dentro de nuestro dispositivo. Podría sonar como guión de película de espías, pero es real, existe y acaba de ser descubierta.

Lleva por nombre ‘Operación Slingshot’ y se trata de uno de los ataques más avanzados de los últimos años, el cual parece estar dirigido a objetivos muy concretos, personas e instituciones, en Medio Oriente y África. Un ataque que se cree que lleva operando desde al menos 2012 y que ha afectado a cerca de 100 víctimas.

Un malware hecho a la medida del que no se sabe quién está detrás

Slingshot fue descubierto después de que un grupo de investigadores de Kaspersky Lab encontrara un keylogger dentro del ordenador de una institución gubernamental africana. Ante esto, se creó un seguimiento del comportamiento de este programa para ver si aparecía en otro lugar, lo que llevó a encontrarse con un archivo sospechoso dentro de la carpeta del sistema llamado ‘scesrv.dll’.

Después de analizar este archivo, se encontró que cuenta con código malicioso en su interior capaz de obtener privilegios del sistema a través de ‘services.exe’, por lo que se trata de un malware increíblemente avanzado que se ejecuta sobre kernel, llegando así hasta el núcleo del ordenador tomando control de él sin que el usuario siquiera se percate de su existencia.

Slingshot posee una forma de atacar que nunca antes se había visto, ya que se trata de algo nuevo que no se basa en ningún otro malware que haya surgido anteriormente. Por ello, se cree que se trata de una herramienta creada a la medida por profesionales, quienes posiblemente están financiados por algún país, ya que inicialmente se creyó que se trataba de hacktivismo. Pero al ver lo sofisticado del ataque, se descartó esta teoría.

Sas Infographics Slingshot How It Attacks

Entre lo que se ha ido descubriendo acerca de Slingshot está el hecho de que la infección proviene de routers hackeados, los cuales están cargados con enlaces dinámicos maliciosos, que de hecho es un programa de descarga para otros archivos. Cuando el administrador inicia sesión para configurar el router, se descarga y ejecuta este código en el ordenador del administrador, infectando así a toda la red en sólo unos minutos.

Aún se desconoce el método que han utilizado los atacantes para hackear (crackear) los routers. Una vez que el ordenador está infectado, dos potentes herramientas como Cahnadr y GollumApp hacen el trabajo sucio. Ambos módulos están conectados entre sí y son capaces de recopilar toda la información del dispositivo para después enviarla a los atacantes.

Slingshot hace capturas de pantallas cada cierto tiempo, obtiene datos de lo que recibe el teclado, datos de la red y conexiones, contraseñas, dispositivos conectados vía USB, la actividad del escritorio, los archivos guardados en portapapeles y mucho más. Y es que hay que recordar que este malware tiene acceso al Kernel, por lo que tiene acceso a todo.

Potente y discreto

Pero eso no es todo, ya que Slingshot también sabe esconderse. Incluye cifrado en todos sus módulos y cadenas, se conecta directamente a los servicios del sistema para eludir a los antivirus y otros programas de seguridad. Usa técnicas anti-depuración y selecciona los procesos en los que se activará dependiendo de los niveles de seguridad instalados en el ordenador, para así pasar completamente desapercibido.

Pero lo más impresionante de todo, es que Slingshot se aprovecha de los datos que obtiene vía Kernel para ocultar su comunicación y enlaces como si fuese un protocolo legitimo, por lo que nunca levanta sospechas. Esto lo hace interceptando conexiones reales para posteriormente hacerse pasar por ellas, todo sin dejar rastros al controlar y ocultar las direcciones IP.

Code 1689066 1280

La investigación también mostró que se trata de la versión 6.x, lo que sugiere que Slingshot ha existido desde hace varios años. Esto podría explicar su complejidad, lo cual sin duda requirió mucho tiempo para su desarrollo y sobre todo dinero, ya que es toda una obra de arte.

Por lo anterior, se cree que hay alguien con mucho poder detrás de su desarrollo, alguien organizado y profesional. Las pistas muestran código en habla inglesa, aunque la atribución exacta es complicada o casi imposible de determinar.

Quiénes son los afectados y cómo bloquear esta amenaza

Los investigadores aseguran que existen hasta febrero de 2018 cerca de 100 afectados por Slingshot, los cuales están ubicados en Yemen, Kenia, Afganistán, Libia, Congo, Jordania, Turquía, Irak, Sudán, Somalia y Tanzania. Estos afectados son principalmente personas especificas relacionadas con el gobierno y sólo algunas organizaciones, por lo que se cree que está muy bien estudiado para espiar a ciertos miembros.

Sas Infographics The Map Of Slingshot Attacks

Los routers de la marca Mikrotik son los afectados y para evitar un posible ataque se debe actualizar el firmware a la última versión cuanto antes. Esta es la única forma de garantizar su eliminación y protección contra posibles derivados basados en Slingshot que pudiesen surgir.

 

Fuente: Raúl Álvarez – xataka.com

Oscobo, el nuevo buscador de Internet centrado en la privacidad

Debido al creciente número de personas preocupadas por la privacidad de sus datos cuando navegan en Internet también están aumentando el número de soluciones que nos aseguran un nivel más de privacidad. Una de ellas es Oscobo, el nuevo buscador de Internet alternativo a Google que se centra en la privacidad y seguridad de los datos de los usuarios.

Oscobo ha sido creado por dos ex miembros de diferentes empresas de tecnología como Fred Cornell (ex-Yahoo) y Rob Perin (ex-BlackBerry). Quieren aprovechar este creciente descontento de los usuarios con las empresas tradicionales de Internet y la preocupación sobre el uso de sus datos que realizan las mismas. Desde esta nueva empresa nos explican que van un paso más allá para evitar que se haga negocio con nuestros datos, por ejemplo, evitando que se vendan a anunciantes.

Este nuevo buscador de Internet que pone el foco en la privacidad se convierte en una alternativa a DuckDuckGo, otro buscador que ha disparado su uso desde que se destaparon los casos de espionaje masivo en todo el mundo. Oscobo no espía a los usuarios ni hace uso de cookies. Por el momento, está localizado en Reino Unido y lo mismo ocurre con los resultados que nos devuelve.

Podemos encontrar páginas en inglés y otros idiomas pero no vamos a encontrar resultados tan locales como en otros buscadores. Su apariencia es similar a la de cualquier otro buscador de Internet. Además, incluye un recuadro en la parte derecha que muestra mensajes de Twitter relacionados con la búsqueda, intentando así mostrar la información más actualizada posible.

Oscobo nos permite buscar en la web, encontrar vídeos, imágenes y noticias, pudiendo cambiar de una sección a otra de forma sencilla desde la parte superior, tal y como hacemos actualmente en Google. Los resultados de las búsquedas se obtienen de los buscadores Bing y Yahoo, que se han convertido en los grandes aliados de las nuevas soluciones centradas en la privacidad.

Seguiremos de cerca la evolución de Oscobo que todavía plantea muchas dudas, como por ejemplo, la forma de ofrecer resultados personalizados para los países no-ingleses. Pese a ello, los usuarios tendrán otra alternativa a DuckDuckGo que velará por la privacidad y no venderá sus datos a terceros.

Fuente: Claudio Valero – adslzone.net

DNS Jumper, la mejor herramienta para elegir DNS se actualiza

Para traducir la dirección URL que introducimos en nuestro navegador web en una dirección IP con la que establecer conexión, de forma automática se usan los servidores DNS. Y sí, podemos utilizar los servidores DNS que establece por defecto nuestro proveedor de Internet, pero existen alternativas mejores para conseguir que nuestra conexión a Internet funcione de forma óptima. Para ello, DNS Jumper es la mejor herramienta, y acaba de actualizarse.

No pocos usuarios revisan al dedillo los detalles de su conexión a Internet en cuanto a la configuración del router, o del WiFi, y muchos otros detalles de que depende la estabilidad y velocidad. Ahora bien, tampoco son pocos usuarios los que dejan a un lado la revisión de la configuración DNS de la conexión a Internet, un detalle a tener en cuenta si queremos obtener los mejores resultados, y para ello contamos con la ayuda de útiles herramientas como DNS Jumper.

Con DNS Jumper, si no lo conoces, podemos comprobar la calidad de decenas de servidores DNS en cuanto a la velocidad de respuesta. Una vez hecho el test, sólo pulsando un botón, podemos configurar el servidor DNS más rápido para nuestra conexión a Internet. Ahora bien, hay más posibilidades que te permitirán navegar con más velocidad y mayor estabilidad.

Novedades en DNS Jumper 2.0

Como señalan nuestros compañeros de RedesZone, la aplicación está disponible de forma gratuita en la página web oficial con una serie de interesantes novedades, concretamente las siguientes:

  • Nuevo menú para controlar la herramienta desde la bandeja del sistema.
  • Reducido el tiempo de comprobación de los servidores DNS.
  • Ahora es posible ejecutar la aplicación junto al sistema.
  • Ahora es posible exportar e importar listas de DNS.
  • Solucionados algunos problemas con el actualizador y con algunos servidores que no respondían correctamente al ping.

Fuente: Carlos González – adslzone.net