На прошлой неделе появилась информация о кибергруппировке, которая применяет шпионскую программу Slingshot для инфицирования сотен тысяч маршрутизаторов Mikrotik, принадлежащих отдельным лицам и правительственным организациям в африканских и ближневосточных странах.
Издание CyberScoop, ссылаясь на экс-сотрудников американской разведки, сообщило, что Slingshot – это операция Совместного командования специальных операций США (JSOC) против участников террористических группировок.
Источники CyberScoop обеспокоены тем, что обнародование информации о Slingshot может повлечь провал операции и поставить жизнь солдат под угрозу. Один из экс-сотрудников разведки утверждает, что инфраструктуру Slingshot, скорее всего, уже уничтожили после того, как информация о ней была раскрыта.
На данный момент неизвестно, на самом ли деле атаки Slingshot организованы американскими властями, но, по словам исследователей, обнаруживших киберкампанию, операторы вредоносной программы, вероятнее всего, являются носителями английского языка. Кроме того, способы, применявшиеся в ходе атак, идентичны методам кибергруппировки Longhorn, которая, вероятнее всего, связана с американским правительством.
Помимо этого, в архиве хакерских утилит ЦРУ Vault7, который был обнародован WikiLeaks, упомянут эксплоит для уязвимостей в маршрутизаторах Mikrotik, но неизвестно, применялся ли он в ходе данной киберкампании.
В рамках атак Slingshot используются инструменты и строки кода, названия которых являются отсылками к персонажам «Властелина Колец», например, Gollum. Утилита с таким же названием упоминалась в документации АНБ США, опубликованной Эдвардом Сноуденом.
