Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення ряду шпигунських атак на урядові та дипломатичні установи Східної Європи. Аналіз показує, що ці атаки проводилися за допомогою маловідомої платформи для кібершпигування.

Платформа володіє модульною архітектурою, а також двома помітними особливостями: AT-протоколом, який використовується одним із плагінів для збору цифрових відбитків GSM-пристроїв, а також Tor, який використовується для мережевих з’єднань.

«Діяльність зловмисників, які використовують Attor, переважно спрямована на дипломатичні представництва та урядові установи, а також на користувачів декількох російських сервісів. Атаки тривають щонайменше з 2013 року», — зазначають спеціалісти ESET.

Attor має модульну архітектуру: вона складається з диспетчера та завантажуваних плагінів, які використовують диспетчер для реалізації основних функціональних можливостей. Ці плагіни доставляються на інфікований комп’ютер у вигляді зашифрованих DLL-файлів. Вони повністю відновлені лише в пам’яті, тому без доступу до диспетчера важко отримати та розшифрувати плагіни Attor.

Платформа Attor спрямована на конкретні процеси, які пов’язані з російськими соціальними мережами та деякими програмами для шифрування та цифрового підпису, сервісом VPN HMA,  сервісами електронної пошти з наскрізним шифруванням Hushmail та The Bat!, а також утилітою для шифрування диска TrueCrypt.

Виявлено ряд шпигунських атак на урядові та дипломатичні установи, а також користувачів Східної Європи. — ESET.

В іншій частині платформи Attor додатково перевіряється, чи використовує жертва сервіс TrueCrypt. «Механізм перевірки є унікальним, зокрема Attor використовує специфічні для TrueCrypt коди управління для з’єднання з додатком, який показує, що автори шкідливого програмного забезпечення повинні розуміти відкритий код інсталятора TrueCrypt, — зауважують спеціалісти ESET. — Однак, нам не відомо, чи була ця методика описана раніше».

Серед можливостей Attor, реалізованих за допомогою плагінів, можна виділити дві незвичайні особливості: мережеве з’єднання та цифровий відбиток на GSM-пристроях. Щоб забезпечити анонімність та уникнути відстеження Attor використовує Tor: Onion Service Protocol з onion-адресою для свого командного сервера (C&C).

Інфраструктура Attor для з’єднання C&C охоплює чотири компоненти — диспетчера, який забезпечує функції шифрування, а також три плагіни, які реалізують протокол FTP, функціонал Tor та мережеве з’єднання. Такий механізм унеможливлює аналіз мережевого з’єднання Attor у разі відсутності усіх компонентів.

Найбільш незвичайний плагін в арсеналі Attor збирає інформацію про підключені модеми, телефони та накопичувачі, а також інформацію про файли, які на них зберігаються. На думку дослідників ESET, найбільше зловмисників цікавлять цифрові відбитки GSM-пристроїв, підключених до комп’ютера через послідовний порт. Attor використовує так звані AT-команди для з’єднання з пристроєм та для отримання ідентифікаторів, зокрема, IMSI, IMEI, MSISDN та версії програмного забезпечення.

«Невідомі сьогодні для більшості людей AT-команди для управління модемами, які були розроблені ще у 80-х роках минулого століття і досі використовуються в більшості сучасних смартфонів», — пояснюють спеціалісти ESET. Тому серед можливих причин використання зловмисниками AT-команд може бути те, що шпигунська платформа спрямована на модеми та застрілі моделі телефонів. Крім цього, AT-команди можуть використовуватися для з’єднання з деякими конкретними пристроями. Можливо, зловмисники дізнаються про використання жертвами пристроїв за допомогою інших методів розвідки.

«Цифрові відбитки можуть стати базою для подальшого викрадення даних, — розповідають спеціалісти ESET. — Якщо зловмисники дізнаються про тип підключеного пристрою, вони можуть створити та розгорнути персоналізований плагін, який за допомогою AT-команд може викрадати дані та вносити зміни до пристрою, зокрема до вбудованого програмного забезпечення».

Джерело ESET

З питань придбання рішень ESET звертайтесь до наших спеціалістів +380 (44) 383 4410 або sales@softico.ua