بعد الإصابة، تقوم سلينجشوت بتحميل عدد من الوحدات على الجهاز الضحية، بما في ذلك وحدتان ضخمتان وقويتان هما Cahnadr وGollumApp، وتأتيان متصلتين ومتعاونتين في مداومة العمل على جمع المعلومات وتسريب البيانات.

ويبدو أن الهدف الرئيسي لبرمجية سلينجشوت هو التجسس الإلكتروني، إذ يُشير التحليل إلى أنها تجمع لقطات الشاشة وبيانات من لوحة المفاتيح وبيانات شبكية وكلمات مرور ووصلات USB وأنشطة أخرى على سطح المكتب وبيانات الحافظة الإلكترونية وغيرها، فوصول البرمجية الخبيثة إلى جوهر النظام يعني أن بإمكانها سرقة كل ما تريد.

كذلك يتضمن التهديد المتقدم والمستمر عدداً من الأساليب لمساعدة البرمجية الخبيثة في تجنب الكشف عنها، وتشمل تلك تشفير جميع السلاسل الكامنة في وحداته، وإستدعاء خدمات النظام مباشرة من أجل تجاوز المنتجات الأمنية، وأستخدام عدد من أساليب مكافحة تصحيح الأخطاء البرمجية Anti-debugging، وتحديد العملية التي تريد الدخول فيها إعتماداً على عمليات الحلول الأمنية المثبتة على الجهاز والمشغلة، وأكثر من ذلك.

وتعمل برمجية سلينجشوت كخادم خلفي سلبي، إذ لا تحتوي على عنوان ضمني لمركز القيادة والسيطرة ولكنها تحصل عليه من المشغل عبر أعتراض جميع حزم البيانات الشبكية في الوضع الجوهري والتحقق من الوضع لمعرفة ما إذا كان هناك اثنان من الثوابت السحرية المضمنة في مقدمة القطعة البرمجية، وإذا كانت هذه هي الحال، فهذا يعني أن هذه الحزمة تحتوي على عنوان لمركز القيادة والسيطرة، بعد ذلك تُنشئ سلينجشوت قناة أتصال مشفرة تصلها بمركز القيادة والسيطرة وتبدأ في نقل البيانات من أجل تسريبها.

ووضع الباحثون علامة Version 6.x على العينات الخبيثة التي تم التحقيق فيها، ما يشير إلى أن التهديد قائم منذ مدة طويلة، ومن المحتمل أن تكون المهارات والتكلفة المرتبطة بإنشاء مجموعة أدوات سلينجشوت المعقدة عالية، فضلاً عن تطلب تطويرها وقتاً طويلاً، وفي ذلك دلالات تُرجّح أن المجموعة الكامنة وراء هذه البرمجية مجموعة عالية التنظيم والأحترافية، وربما تحظى برعاية حكومية، فيما تشير الدلائل النصية في الشفرة البرمجية إلى أن لغة هذه المجموعة هي الإنجليزية، ويظل تحديد الإسناد الدقيق مع ذلك صعباً إن لم يكن مستحيلاً، كما أنه عُرضة للتلاعب والخطأ بشكل متزايد.

وشاهد الباحثون حتى الآن حوالي 100 ضحية لبرمجية سلينجشوت والوحدات المرتبطة بها، تقع في كينيا واليمن وأفغانستان وليبيا والكونغو والأردن وتركيا والعراق والسودان والصومال وتنزانيا، ويبدو أن معظم الضحايا المستهدفين أفراد لا مؤسسات، لكن بعضهم من الشركات والمؤسسات الحكومية، فيما يقع معظم الضحايا الذين تمت ملاحظتهم حتى الآن، في كينيا واليمن.

وقال أليكسي شولمين، المحلل الرئيسي للبرمجيات الخبيثة في كاسبرسكي لاب: “إن سلينجشوت عبارة عن تهديد متطور يلجأ إلى أستخدام مجموعة واسعة من الأدوات والأساليب، بما في ذلك وحدات النمط الجوهري التي ظهرت حتى الآن فقط في الهجمات الأكثر تقدماً، وتعد هذه الوظيفية ثمينة ومربحة للمهاجمين، ما يفسر سبب وجودها لمدة ست سنوات على الأقل”.

تجدر الإشارة إلى أن جميع منتجات كاسبرسكي لاب تعمل على أكتشاف هذا التهديد ومنعه بنجاح. ولتجنب الوقوع ضحية لمثل هذا الهجوم، يوصي باحثو الشركة بإتباع التدابير التالية:

• ينبغي على مستخدمي أجهزة التوجيه من Mikrotik الترقية إلى أحدث إصدار برمجي في أقرب وقت ممكن لضمان الحماية من الثغرات المعروفة، وعلاوة على ذلك لم يعد Mikrotik Winbox يقوم بتنزيل أي شيء من جهاز التوجيه إلى حاسوب المستخدم.
• استخدام حل أمني مُثبت وممتاز مع تقنيات مكافحة الهجمات الموجهة ومعلومات التهديدات.
• إتاحة المجال أمام موظفي الأمن للوصول إلى أحدث بيانات التهديدات ما من شأنه تسليحهم بأدوات مفيدة للبحث والوقاية من الهجمات الموجهة، مثل مؤشرات الأختراق ومنصة YARA والتقارير الخاصة بالتهديدات المتقدمة.
• إذا تم تحديد مؤشرات مبكرة على وقوع هجوم موجّه، على المستخدم أن يضع في أعتباره خدمات الحماية المدارة التي تسمح له بأكتشاف التهديدات المتقدمة بشكل أستباقي، وتقليل الوقت الذي يستغرقه الأنتظار وترتيب التجاوب مع الحوادث في الوقت المناسب.