Эксперты компании ESET обнаружили весьма удивительную платформу, подтверждающую худшие конспирологические фантазии.
Глазам специалистов предстала центрированная передовая система распространения малвари Attor, которая использовалась для слежки за дипломатами и другими русскоязычными пользователями в Восточной Европе. Что самое поразительное, это незаметность такой масштабной структуры. По данным экспертов, атаки с этой платформы велись как минимум с 2013 года.
Что такое Attor? ESET говорит, что малварь использует модульную архитектуру и построена вокруг центрального компонента, называемого диспетчером. То, что зловред использует шифрования для сокрытия модулей, говорит о высоком статусе ее владельцев, это дорогое удовольствие, и, как правило, встречается лишь когда речь идет о правительственных хакерах.
По словам исследователей, ознакомившихся со зловредом, плагины Attor попадают на скомпрометированный компьютер в виде библиотек DLL, асимметрично зашифрованных с помощью RSA. Затем эти плагины полностью восстанавливаются только в памяти, с использованием открытого ключа RSA, встроенного в диспетчер.
Теперь самое интересное, про таргетинг жертв. Тот факт, что Attor создавался для российских пользователей, поддерживается некоторыми функциями платформы, среди которых таргетинг таких популярных приложений и услуг, как «Одноклассники» и «ВКонтакте», VoIP Multifon, приложение для обмена мгновенными сообщениями Qip. Infium, поисковая система Rambler, почтовые клиенты «Яндекс» и Mail.ru, а также платежная система WebMoney.
ESET говорит, что для слежки за жертвой Attor анализирует активные процессы — популярные браузеры, мессенджеры, почтовые приложения, сервис IP-телефонии, социальные сети. Обнаружив один из этих процессов, программа делает снимки экрана и отправляет их злоумышленникам. Функциональность Attor позволяет, помимо этого, записывать аудио, перехватывать набранный текст и содержимое буфера обмена.
Любовь к конфиденциальности при этом может выйти боком пользователю: создатели Attor проявляют особый интерес к пользователям, которых беспокоит вопрос конфиденциальности. Attor специально настроен делать снимки экрана при активации VPN-сервисов, утилиты для шифрования диска TrueCrypt и ряда подобных приложений.
Как уже было сказано выше, Attor состоит из диспетчера и плагинов с различной функциональностью. Исследователям удалось изучить восемь плагинов. Также одной из особенностей платформы является использование системы Tor для анонимной связи с командным сервером.
Другой уникальной чертой зловреда стал АТ-протокол в одном из плагинов, который собирает информацию о подключенных модемах, телефонах (в том числе устаревших моделей) и файловых накопителях.
AT-команды, которые использует протокол, были разработаны в 1977 году компанией Hayes для набора номера модема, изменения настроек соединения и так далее. Эти команды до сих пор используются в большинстве современных смартфонов — с их помощью можно инициировать отправку SMS-сообщений, эмулировать события на экране и прочее
Attor использует AT-команды для связи с устройствами и получения идентификаторов, включая IMSI, IMEI, MSISDN и версию используемой ОС. Они получают цифровые отпечатки GSM-устройств, подключенных к компьютеру через COM-порт.
Все это говорит об очень высоком техническом уровне операторов Attor. А также их осведомленности в вопросах дипломатических: во многих дипломатических и разведывательных операциях используются собственные платформы с поддержкой GSM и устаревшие телефоны, что обеспечивает дополнительную защиту коммуникаций. И тут как раз появляется заточенный под устаревшие команды Attor.
Операторы зловреда пока неизвестны.
Читайте также другие материалы про кибершпионаж на АКБ:
Шпионский фреймворк TajMahal вырывает документы у дипломатов прямо из рук
Эра недоверия: КБ-периметр рушат мессенджеры и файлообменники
Facebook и Apple высокотехнологично шпионят за пользователями
