Подпишитесь на еженедельную рассылку
Эл. почта



ESET обнаружила платформу для кибершпионажа за пользователями российских сервисов

14 октября 2019

Международная антивирусная компания ESET изучила шпионскую платформу Attor, которая применялась для таргетированных атак на пользователей из России и Восточной Европы. По данным исследователей, атаки велись как минимум с 2013 года.

Для слежки за жертвой Attor анализирует активные процессы — популярные браузеры, мессенджеры, почтовые приложения, сервис IP-телефонии, соцсети «Одноклассники» и ВКонтакте.

Обнаружив один из этих процессов, программа делает снимки экрана и отправляет их злоумышленникам. Также функционал Attor позволяет записывать аудио, перехватывать набранный текст и содержимое буфера обмена.

По данным экспертов ESET, жертвами Attor стали пользователи из России, Украины, Словакии, Литвы и Турции, в т.ч. дипломаты и сотрудники госучреждений.

Помимо географического и языкового таргетинга, создатели Attor проявляют особый интерес к пользователям, которых беспокоит вопрос конфиденциальности. Attor настроен делать снимки экрана при активации VPN-сервисов, утилиты для шифрования диска TrueCrypt и ряда подобных приложений.

Attor состоит из диспетчера и плагинов с различным функционалом, которые загружаются на скомпрометированное устройство в виде зашифрованных файлов DLL. Одной из особенностей платформы является использование системы Tor для анонимной связи с командным сервером.

Другой отличительной чертой стал АТ-протокол в одном из плагинов, который собирает информацию о подключенных модемах, телефонах (в том числе устаревших моделей) и файловых накопителях.

AT-команды, которые использует протокол, были разработаны в 1977 году компанией Hayes для набора номера модема, изменения настроек соединения и др. Эти команды до сих пор используются в большинстве современных смартфонов — с их помощью можно инициировать отправку SMS-сообщений, эмулировать события на экране и др.

Attor использует AT-команды для связи с устройствами и получения идентификаторов, включая IMSI, IMEI, MSISDN и версию используемой ОС. По мнению экспертов ESET, злоумышленников больше интересуют цифровые отпечатки GSM-устройств, подключенных к компьютеру через последовательный порт.

«Создание цифрового отпечатка устройств может стать основой для дальнейшей кражи данных. Если киберпреступники узнают тип подсоединенного устройства, они смогут собрать персональный плагин, способный при помощи AT-команд украсть с него данные или внести изменения», — отмечает Зузана Хромцова, вирусный аналитик компании ESET.

Комментарии

Пока нет ни одного сообщения

Добавление сообщения

наверх