Ряд шпигунських атак на урядові та дипломатичні установи Східної Європи виявили фахівці у галузі кібербезпеки. Аналіз показує, що ці атаки проводилися за допомогою маловідомої платформи для кібершпигування.

Платформа володіє модульною архітектурою, а також двома помітними особливостями: AT-протоколом, який використовується одним із плагінів для збору цифрових відбитків GSM-пристроїв, а також Tor, який використовується для мережевих з’єднань.

“Діяльність зловмисників, які використовують Attor, переважно спрямована на дипломатичні представництва та урядові установи, а також на користувачів декількох російських сервісів. Атаки тривають щонайменше з 2013 року”, — зазначають спеціалісти ESET.

Attor має модульну архітектуру: вона складається з диспетчера та завантажуваних плагінів, які використовують диспетчер для реалізації основних функціональних можливостей. Ці плагіни доставляються на інфікований комп’ютер у вигляді зашифрованих DLL-файлів. Вони повністю відновлені лише в пам’яті, тому без доступу до диспетчера важко отримати та розшифрувати плагіни Attor.

Платформа Attor спрямована на конкретні процеси, які пов’язані з російськими соціальними мережами та деякими програмами для шифрування та цифрового підпису, сервісом VPN HMA, сервісами електронної пошти з наскрізним шифруванням Hushmail та The Bat!, а також утилітою для шифрування диска TrueCrypt.

В іншій частині платформи Attor додатково перевіряється, чи використовує жертва сервіс TrueCrypt.

“Механізм перевірки є унікальним, зокрема Attor використовує специфічні для TrueCrypt коди управління для з’єднання з додатком, який показує, що автори шкідливого програмного забезпечення повинні розуміти відкритий код інсталятора TrueCrypt, — зауважують спеціалісти ESET.— Однак, нам не відомо, чи була ця методика описана раніше”.

Серед можливостей Attor, реалізованих за допомогою плагінів, можна виділити дві незвичайні особливості: мережеве з’єднання та цифровий відбиток на GSM-пристроях. Щоб забезпечити анонімність та уникнути відстеження Attor використовує Tor: Onion Service Protocol з onion-адресою для свого командного сервера (C&C).

Інфраструктура Attor для з’єднання C&C охоплює чотири компоненти — диспетчера, який забезпечує функції шифрування, а також три плагіни, які реалізують протокол FTP, функціонал Tor та мережеве з’єднання. Такий механізм унеможливлює аналіз мережевого з’єднання Attor у разі відсутності усіх компонентів.

Найбільш незвичайний плагін в арсеналі Attor збирає інформацію про підключені модеми, телефони та накопичувачі, а також інформацію про файли, які на них зберігаються. На думку дослідників ESET, найбільше зловмисників цікавлять цифрові відбитки GSM-пристроїв, підключених до комп’ютера через послідовний порт. Attor використовує так звані AT-команди для з’єднання з пристроєм та для отримання ідентифікаторів, зокрема, IMSI, IMEI, MSISDN та версії програмного забезпечення.

“Невідомі сьогодні для більшості людей AT-команди для управління модемами, які були розроблені ще у 80-х роках минулого століття і досі використовуються в більшості сучасних смартфонів”, — пояснюють спеціалісти ESET.

Тому серед можливих причин використання зловмисниками AT-команд може бути те, що шпигунська платформа спрямована на модеми та застрілі моделі телефонів. Крім цього, AT-команди можуть використовуватися для з’єднання з деякими конкретними пристроями. Можливо, зловмисники дізнаються про використання жертвами пристроїв за допомогою інших методів розвідки.

“Цифрові відбитки можуть стати базою для подальшого викрадення даних, — розповідають спеціалісти ESET. — Якщо зловмисники дізнаються про тип підключеного пристрою, вони можуть створити та розгорнути персоналізований плагін, який за допомогою AT-команд може викрадати дані та вносити зміни до пристрою, зокрема до вбудованого програмного забезпечення”.

Нагадаємо, компанія Google додала в Chrome Canary нову експериментальну функцію, яка надає користувачам можливість видалити сторонні файли cookie в браузері.

Також співробітники дослідницького інституту Fraunhofer-Institut für Sichere Informationstechnologie (Німеччина) попередили про уразливість в старому коді API Twitter, який як і раніше використовується популярними мобільними iOS-додатками.

Окрім цього, Facebook додала у Instagram нову функцію безпеки для захисту від фішингових атак. Відтепер, отримавши повідомлення від Instagram, користувачі зможуть перевіряти, чи насправді його прислала компанія, або це приманка фішерів.

Зверніть увагу, що у Opera 64 з’явився блокувальник трекерів, вмикати та вимикати який можна в меню “Просте налаштування” і в налаштуваннях браузера.

До речі, компанія Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів. В цілому було виправлено 59 уразливостей в Windows і пов’язаному ПЗ, 9 з яких є критичними, 49 – небезпечними і 1 – середньої небезпеки.