Новости и события » Общество » Новая шпионская платформа похищает цифровые отпечатки GSM-устройств

Новая шпионская платформа похищает цифровые отпечатки GSM-устройств

Новая шпионская платформа похищает цифровые отпечатки GSM-устройств

Компания ESET сообщила, что ее специалисты обнаружили ряд шпионских атак на правительственные и дипломатические учреждения Восточной Европы. Анализ показывает, что эти атаки проводились с помощью малоизвестной платформы для кибершпионажа.

Платформа обладает модульной архитектурой, а также двумя заметными особенностями: AT-протоколом, который используется одним из плагинов для сбора цифровых отпечатков GSM-устройств, а также Tor, который используется для сетевых соединений.

"Деятельность злоумышленников, которые используют Attor, преимущественно направлена на дипломатические представительства и правительственные учреждения, а также на пользователей нескольких российских сервисов. Атаки продолжаются по меньшей мере с 2013 года", - отмечают специалисты ESET.

Attor имеет модульную архитектуру: она состоит из диспетчера и загружаемых плагинов, которые используют диспетчер для реализации основных функциональных возможностей. Эти плагины доставляются на инфицированный компьютер в виде зашифрованных DLL-файлов. Они только полностью восстановлены в памяти, поэтому без доступа к диспетчеру трудно получить и расшифровать плагины Attor.

В другой части платформы Attor дополнительно проверяется, использует ли жертва сервис TrueCrypt. "Механизм проверки является уникальным, в частности Attor использует специфические для TrueCrypt коды управления для соединения с приложением, которое показывает, что авторы вредоносного программного обеспечения должны понимать открытый код инсталлятора TrueCrypt, - отмечают специалисты ESET. - Однако, нам не известно, была эта методика описана ранее".

Среди возможностей Attor, реализованных с помощью плагинов, можно выделить две необычные особенности: сетевое соединение и цифровой отпечаток на GSM-устройствах. Чтобы обеспечить анонимность и избежать отслеживания Attor использует протокол службы Tor: Onion с onion-адресом для своего командного сервера (C&C).

Инфраструктура Attor для соединения C&C охватывает четыре компонента - диспетчера, который обеспечивает функции шифрования, а также три плагина, которые реализуют протокол FTP, функционал Tor и сетевое соединение. Такой механизм делает невозможным анализ сетевого соединения Attor при отсутствии всех компонентов.

Самый необычный плагин в арсенале Attor собирает информацию о подключенных модемах, телефонах и накопителях, а также информацию о файлах, которые на них хранятся. По мнению исследователей ESET, злоумышленников больше интересуют цифровые отпечатки GSM-устройств, подключенных к компьютеру через последовательный порт. Attor использует так называемые AT-команды для соединения с устройством и получения идентификаторов, в частности, IMSI, IMEI, MSISDN и версии программного обеспечения.

"Неизвестные сегодня для большинства людей AT-команды для управления модемами, которые были разработаны еще в 80-х годах прошлого века и до сих пор используются в большинстве современных смартфонов", - объясняют специалисты ESET. Поэтому среди возможных причин использования злоумышленниками AT-команд может быть то, что шпионская платформа направлена на модемы и устаревшие модели телефонов. Кроме этого, AT-команды могут использоваться для соединения с некоторыми конкретными устройствами. Возможно, злоумышленники узнают об использовании жертвами устройств с помощью других методов шпионажа.

Как отмечает ESET, цифровые отпечатки могут стать базой для дальнейшего похищения данных. Если злоумышленники узнают о типе подключенного устройства, они могут создать и развернуть персонализированный плагин, который с помощью AT-команд может похищать данные и вносить изменения в устройства, в частности к встроенному программному обеспечению.


Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх