Обнаружен вредоносный «авианосец», нацеленный на россиян

Опубликовано at 20:54
315 0

Эксперты компании ESET обнаружили весьма удивительную платформу, подтверждающую худшие конспирологические фантазии.

Глазам специалистов предстала центрированная передовая система распространения малвари Attor, которая использовалась для слежки за дипломатами и другими русскоязычными пользователями в Восточной Европе. Что самое поразительное, это незаметность такой масштабной структуры. По данным экспертов, атаки с этой платформы велись как минимум с 2013 года.

Что такое Attor? ESET говорит, что малварь использует модульную архитектуру и построена вокруг центрального компонента, называемого диспетчером. То, что зловред использует шифрования для сокрытия модулей, говорит о высоком статусе ее владельцев, это дорогое удовольствие, и, как правило, встречается лишь когда речь идет о правительственных хакерах.

По словам исследователей, ознакомившихся со зловредом, плагины Attor попадают на скомпрометированный компьютер в виде библиотек DLL, асимметрично зашифрованных с помощью RSA. Затем эти плагины полностью восстанавливаются только в памяти, с использованием открытого ключа RSA, встроенного в диспетчер.

Теперь самое интересное, про таргетинг жертв. Тот факт, что Attor создавался для российских пользователей, поддерживается некоторыми функциями платформы, среди которых таргетинг таких популярных приложений и услуг, как «Одноклассники» и «ВКонтакте», VoIP Multifon, приложение для обмена мгновенными сообщениями Qip. Infium, поисковая система Rambler, почтовые клиенты «Яндекс» и Mail.ru, а также платежная система WebMoney.

ESET говорит, что для слежки за жертвой Attor анализирует активные процессы — популярные браузеры, мессенджеры, почтовые приложения, сервис IP-телефонии, социальные сети. Обнаружив один из этих процессов, программа делает снимки экрана и отправляет их злоумышленникам. Функциональность Attor позволяет, помимо этого, записывать аудио, перехватывать набранный текст и содержимое буфера обмена.

Любовь к конфиденциальности при этом может выйти боком пользователю: создатели Attor проявляют особый интерес к пользователям, которых беспокоит вопрос конфиденциальности. Attor специально настроен делать снимки экрана при активации VPN-сервисов, утилиты для шифрования диска TrueCrypt и ряда подобных приложений.

Как уже было сказано выше, Attor состоит из диспетчера и плагинов с различной функциональностью. Исследователям удалось изучить восемь плагинов. Также одной из особенностей платформы является использование системы Tor для анонимной связи с командным сервером.

Другой уникальной чертой зловреда стал АТ-протокол в одном из плагинов, который собирает информацию о подключенных модемах, телефонах (в том числе устаревших моделей) и файловых накопителях.

AT-команды, которые использует протокол, были разработаны в 1977 году компанией Hayes для набора номера модема, изменения настроек соединения и так далее. Эти команды до сих пор используются в большинстве современных смартфонов — с их помощью можно инициировать отправку SMS-сообщений, эмулировать события на экране и прочее

Attor использует AT-команды для связи с устройствами и получения идентификаторов, включая IMSI, IMEI, MSISDN и версию используемой ОС. Они получают цифровые отпечатки GSM-устройств, подключенных к компьютеру через COM-порт.

Все это говорит об очень высоком техническом уровне операторов Attor. А также их осведомленности в вопросах дипломатических: во многих дипломатических и разведывательных операциях используются собственные платформы с поддержкой GSM и устаревшие телефоны, что обеспечивает дополнительную защиту коммуникаций. И тут как раз появляется заточенный под устаревшие команды Attor.

Операторы зловреда пока неизвестны.

Читайте также другие материалы про кибершпионаж на АКБ:

Шпионский фреймворк TajMahal вырывает документы у дипломатов прямо из рук

Эра недоверия: КБ-периметр рушат мессенджеры и файлообменники

Facebook и Apple высокотехнологично шпионят за пользователями

Подписываемся, следим @CyberAgency

Related Post