컴퓨터 보안 업체 인 Kaspersky는, 키로깅 의심 사례를 분석하고 있던 가운데, 가상 파일 시스템에 개입하는 악성 코드 "Slingshot"을 확인했다고 발표했다.
Kaspersky에 따르면, Slingshot은 무려 라우터를 감염 경로로서 2018년에 특정 될 때까지 적어도 6년 동안 100대 이상의 PC에 감염되어 있었다는 것을 알게되었다. Slingshot은 Project Sauron과 Regin에 필적 할 정도로 복잡하고 정교한 공격 플랫폼의 것으로, 중동에서 아프리카를 중심으로 피해가 보고되고 있다.
Slingshot은, 라트비아의 네트워크 제조업체 MikroTik제의 라우터에 있는 미지의 취약성을 이용하고 있던 것으로 판명되었다. 라우터는 정상적인 업무를 실시하는 가운데, 다양한 DLL 파일을 다운로드하고 실행한다. 해킹 그룹은 합법적인 DLL 파일 중 하나를, 파일 크기를 똑같이 하여 악성 DLL을 작성해 버리는 것으로, Slingshot를 라우터에 잠복 시키고 있었다는 것을 알게되었다. 그러나 "가장 최초에 라우터에 악성 DLL을 어떻게 침입할 수 있었는지?"는 아직 모르고 있다는.
그리고, MikroTik의 공식 라우터 관리 소프트 "Winbox Loader"를 실행하면, 악성 DLL 파일이 연결되어 있는 단말기에 로드, 실행되어 버린다. MikroTik은 이미 이 문제를 해결 한 것으로, Kaspersky는 MikroTik 제의 라우터를 사용하고 있는 경우에는 즉시 펌웨어를 최신 버전으로 업데이트 할 것을 호소하고 있지만, "유사한 공격을 하고있는 라우터는 MikroTik 제품에 한정하지 않을지도 모른다"고 경고하고 있다.
Slingshot은 "Cahnadr"과 "GollumApp"이라는 2개의 모듈로 구성되어 있다. Cahnadr은 커널 모드 모듈로, 파일 시스템 전체를 중단시키거나 블루 스크린을 낼 수없고, 악의적인 프로그램을 실행하는 것도 가능하게 되어 있다는 것. GollumApp은 사용자 모드 모듈로, 스크린 샷 캡처 클립 보드의 데이터 절취, 네트워크 정보의 절취, 웹 브라우저에 저장되어있는 암호와 같은 절취 등이 가능하게 되어있다.
또한 이 Slingshot는 보안 소프트웨어의 움직임을 확인하면, 곧바로 프로그램을 중단하거나 PC가 종료되기 전에 작업을 완료하는 등 보안 소프트웨어에 의한 탐지를 피하기 위해 교묘하게 설계되어 있었다는 것. 따라서 특정이 늦어 2012년에 최초의 샘플이 발견 된 이후 2018년까지 적어도 6년 동안 방치되어 있었다라는 것이다.
Kaspersky의 조사에 따르면, Slingshot의 피해는 케냐, 예맨을 중심으로 아프가니스탄, 리비아, 콩고, 요르단, 터키, 수단, 이라크, 소말리아, 탄자니아 등 아프리카 중동 지역에서 확인되고 있다. 피해를 당한 PC는 100대를 넘어 그 중에는 정부 기관과 기업의 것도 포함되어 있다고 한다.
조사 된 샘플은 "버전 6.x"라고 기재되어 있고, 이 복잡한 악성 코드를 긴 세월에 걸쳐 개발해야 되기 때문에, 기술과 비용이 매우 높을 것으로 예상. 또한 코드의 텍스트에 영어가 포함되어 있기 때문에, 해킹 그룹은 영어를 모국어로 하고있을 가능성도 시사되고 있다. 따라서 이 Slingshot를 만든 해킹 그룹은 조직화된 전문 집단이며, 국가가 후원하고 있을 가능성도 배제할 수 없다.