ESET: нова шпигунська платформа Attor викрадає цифрові відбитки GSM-пристроїв
ESET: нова шпигунська платформа Attor викрадає цифрові відбитки GSM-пристроїв
ESET повідомляє про виявлення низки шпигунських атак на урядові та дипломатичні установи Східної Європи. Аналіз показує, що ці атаки проводилися за допомогою маловідомої платформи для кібершпигунства.
Платформа має модульну архітектуру, а також дві помітні особливості: AT-протоколом, який використовується одним з плагінів для збору цифрових відбитків GSM-пристроїв, а також Tor, який використовується для мережних з'єднань.
«Діяльність зловмисників, які використовують Attor, переважно спрямована на дипломатичні представництва та урядові установи, а також на користувачів кількох російських сервісів. Атаки тривають щонайменше з 2013 року», — зазначають фахівці ESET.
Attor має модульну архітектуру: вона складається з диспетчера та завантажуваних плагінів, які використовують диспетчер для реалізації основних функціональних можливостей. Ці плагіни доставляються на інфікований комп'ютер як зашифрованих DLL-файлів. Вони тільки повністю відновлені у пам'яті, тому без доступу до диспетчера важко отримати та розшифрувати плагіни Attor.
Платформа Attor спрямована на конкретні процеси, пов'язані з російськими соціальними мережами та деякими програмами для шифрування та цифрового підпису, сервісом VPN HMA, сервісами електронної пошти з наскрізним шифруванням Hushmail та The Bat!, а також утилітою для шифрування диска.
В іншій частині платформи Attor додатково перевіряється, чи жертва використовує сервіс TrueCrypt. «Механізм перевірки є унікальним, зокрема Attor використовує специфічні для TrueCrypt коди керування для з'єднання з програмою, яка показує, що автори шкідливого програмного забезпечення повинні розуміти відкритий код інсталятора TrueCrypt, - відзначають фахівці ESET. — Проте, нам не відомо, чи була ця методика описана раніше».
Серед можливостей Attor, реалізованих за допомогою плагінів, можна виділити дві незвичайні особливості: мережне з'єднання та цифровий відбиток на GSM-пристроях. Щоб забезпечити анонімність та уникнути відстеження Attor використовує протокол служби Tor: Onion з onion-адресою для свого командного сервера (C&C).
Інфраструктура Attor для з'єднання C&C охоплює чотири компоненти — диспетчера, який забезпечує функції шифрування, а також три плагіни, які реалізують протокол FTP, функціонал Tor та мережеве з'єднання. Такий механізм унеможливлює аналіз мережного з'єднання Attor за відсутності всіх компонентів.
Найнезвичайніший плагін в арсеналі Attor збирає інформацію про підключені модеми, телефони та накопичувачі, а також інформацію про файли, які на них зберігаються. На думку дослідників ESET, зловмисників більше цікавлять цифрові відбитки GSM-пристроїв, які підключені до комп'ютера через послідовний порт. Attor використовує так звані AT-команди для з'єднання з пристроєм та отримання ідентифікаторів, зокрема, IMSI, IMEI, MSISDN та версії програмного забезпечення.
«Невідомі сьогодні для більшості людей AT-команди для управління модемами, які були розроблені ще в 80-х роках минулого століття і досі використовуються у більшості сучасних смартфонів», — пояснюють фахівці ESET. Тому серед можливих причин використання зловмисниками AT-команд може бути те, що шпигунська платформа спрямована на модеми та застарілі моделі телефонів. Крім того, AT-команди можуть використовуватися для з'єднання з деякими конкретними пристроями. Можливо, зловмисники дізнаються про використання жертвами пристроїв за допомогою інших методів шпигунства.
«Цифрові відбитки можуть стати базою для подальшого викрадення даних, — розповідають фахівці ESET. — Якщо зловмисники дізнаються про тип підключеного пристрою, вони можуть створити та розгорнути персоналізований плагін, який за допомогою AT-команд може викрадати дані та вносити зміни до пристроїв, зокрема до вбудованого програмного забезпечення».
>