За его созданием, предполагают аналитики "ЛК", стоят некие государственные структуры.
Первым Slingshot поражает роутер, подменяя одну из его библиотек на вредоносную копию. Она, в свою очередь, подгружает другие "плохие" компоненты и запускает двустороннюю атаку на самих ПК.
Крайне "живучий" троянец состоит из двух частей. Первая — Canhadr — исполняет низкоуровневый код ядра, предоставляя злоумышленнику полную свободу действий, включая безграничный доступ к накопителю и памяти. Вторая — GollumApp — запускается на уровне пользователя: она управляет файловой системой и поддерживает бесперебойную работу "вредоноса".
Творение хакеров аналитики назвали "шедевром": Slingshot хранит зараженные файлы в зашифрованной виртуальной файловой системе, шифрует каждую текстовую строку в своих модулях, а при угрозе обнаружения даже способен отключать свои компоненты. Из-за способности маскироваться и прятать следы "мальварь" оставалась незамеченной как минимум с 2012 года, подчеркнули в "ЛК".
По словам специалистов, "умный" вирус может шпионить за пользователем, делать скриншоты, записывать нажатия кнопок на клавиатуре, собирать пароли, данные из буфера обмена и отсылать эту информацию киберпреступникам.
Сложность "шедеврального" кода ставит под сомнение, что Slingshot был разработан независимыми разработчиками. Скорее всего, вредоносная программа была создана при поддержке госструктур. В "ЛК" допускают, что Slingshot могли пользоваться члены клуба "Пяти глаз" (США, Великобритания, Австралия, Канада и Новая Зеландия) для шпионажа за странами повышенной террористической опасностью. |