Новая шпионская платформа похищает цифровые отпечатки GSM-устройств

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении ряда шпионских атак на правительственные и дипломатические учреждения Восточной Европы. Анализ показывает, что эти атаки проводились с помощью малоизвестной платформы для кибершпионажа.

Платформа обладает модульной архитектурой, а также двумя заметными особенностями: AT-протоколом, который используется одним из плагинов для сбора цифровых отпечатков GSM-устройств, а также Tor, который используется для сетевых соединений.

«Деятельность злоумышленников, которые используют Attor, преимущественно направлена на дипломатические представительства и правительственные учреждения, а также на пользователей нескольких российских сервисов. Атаки продолжаются по меньшей мере с 2013 года», — отмечают специалисты ESET.

Attor имеет модульную архитектуру: она состоит из диспетчера и загружаемых плагинов, которые используют диспетчер для реализации основных функциональных возможностей. Эти плагины доставляются на инфицированный компьютер в виде зашифрованных DLL-файлов. Они только полностью восстановлены в памяти, поэтому без доступа к диспетчеру трудно получить и расшифровать плагины Attor.

Платформа Attor направлена ​​на конкретные процессы, связанные с российскими социальными сетями и некоторыми программами для шифрования и цифровой подписи, сервисом VPN HMA, сервисами электронной почты со сквозным шифрованием Hushmail и The Bat!, а также утилитой для шифрования диска TrueCrypt.

Выявлен ряд шпионских атак на правительственные и дипломатические учреждения, а также пользователей Восточной Европы. — ESET.

В другой части платформы Attor дополнительно проверяется, использует ли жертва сервис TrueCrypt. «Механизм проверки является уникальным, в частности Attor использует специфические для TrueCrypt коды управления для соединения с приложением, которое показывает, что авторы вредоносного программного обеспечения должны понимать открытый код инсталлятора TrueCrypt, — отмечают специалисты ESET. — Однако, нам не известно, была эта методика описана ранее».

Среди возможностей Attor, реализованных с помощью плагинов, можно выделить две необычные особенности: сетевое соединение и цифровой отпечаток на GSM-устройствах. Чтобы обеспечить анонимность и избежать отслеживания Attor использует протокол службы Tor: Onion с onion-адресом для своего командного сервера (C&C).

Инфраструктура Attor для соединения C&C охватывает четыре компонента — диспетчера, который обеспечивает функции шифрования, а также три плагина, которые реализуют протокол FTP, функционал Tor и сетевое соединение. Такой механизм делает невозможным анализ сетевого соединения Attor при отсутствии всех компонентов.

Самый необычный плагин в арсенале Attor собирает информацию о подключенных модемах, телефонах и накопителях, а также информацию о файлах, которые на них хранятся. По мнению исследователей ESET, злоумышленников больше интересуют цифровые отпечатки GSM-устройств, подключенных к компьютеру через последовательный порт. Attor использует так называемые AT-команды для соединения с устройством и получения идентификаторов, в частности, IMSI, IMEI, MSISDN и версии программного обеспечения.

«Неизвестные сегодня для большинства людей AT-команды для управления модемами, которые были разработаны еще в 80-х годах прошлого века и до сих пор используются в большинстве современных смартфонов», — объясняют специалисты ESET. Поэтому среди возможных причин использования злоумышленниками AT-команд может быть то, что шпионская платформа направлена ​​на модемы и устаревшие модели телефонов. Кроме этого, AT-команды могут использоваться для соединения с некоторыми конкретными устройствами. Возможно, злоумышленники узнают об использовании жертвами устройств с помощью других методов шпионажа.

«Цифровые отпечатки могут стать базой для дальнейшего похищения данных, — рассказывают специалисты ESET. — Если злоумышленники узнают о типе подключенного устройства, они могут создать и развернуть персонализированный плагин, который с помощью AT-команд может похищать данные и вносить изменения в устройства, в частности во встроенное программное обеспечение».

Более подробная информация о шпионской платформе Attor доступна по ссылке.