На днях стало известно о том, что за рядом русскоязычных дипломатов и чиновников была установлена слежка — речь идет о масштабной кампании кибершпионажа. Обнаружили слежку специалисты компании ESET, которые утверждают, что слежка велась не менее семи лет.
В рамках кампании использовалось специализированное шпионское ПО, которое получило название Attor. Оно отличается от аналогов наличием целого ряда особенностей, включая уникальные функции. Так, Attor работает с зашифрованными модулями, взаимодействие с операторами ведется через Tor. Плюс ко всему, разработчики этой платформы создали плагин, который нужен для создания цифровых отпечатков GSM-устройств в использованием AT-протокола.
Удалось выяснить, что основное направление слежки — дипломатические и государственные организации. Атаки велись начиная с 2013 года.
Attor составлена из отдельных модулей, каждый из которых отвечает за конкретную функцию. Эксперты, проанализировав ПО, смогли обнаружить восемь модулей. Один из них отвечает за инсталляцию и сохранение ПО в системе, второй выполняет роль системного монитора, третий — записывает аудио. Есть еще модуль, который делает скриншоты, кейлоггер, средство выгрузки файлов, плюс диспетчер команд операторов и модуль связи с С&C-сервером.
Насколько можно понять, шпионское ПО было направлено на определенные процессы, которые связаны с российскими ресурсами, включая социальные сети и шифровальные утилиты. Также Attor анализировал VPN-сервисы, защищенные почтовые клиенты, включая Hushmail и The Bat! и утилиту для шифрования дисков TrueCrypt.
Интересной особенностью платформы является то, что разархивируется она лишь в оперативную память. Библиотеки же хранятся на винчестере ПК в сжатом и зашифрованном виде — так их сложнее обнаружить и проанализировать особенности. Надо сказать, что скрываться зловреду удавалось более 7 лет, так что свою задачу он выполнил.
Разработчики ПО предусмотрели также ряд механизмов для загрузки и подключения новых плагинов. Также платформа сама могла обновляться, плюс автоматически выгружать полученные данные на сервер, указанный операторами.
Attor работает с метаданными файлов для создания цифровых отпечатков каждого устройства с использованием команд протокола AT. Он был разработан в 1980 году для работы с разного рода сетевыми устройствами, включая модемы и подключенные к ПК мобильные устройства.
«Неизвестные сегодня для большинства людей AT-команды для управления модемами, которые были разработаны еще в 80-х годах прошлого века и до сих пор используются в большинстве современных смартфонов», — объясняют специалисты ESET.
Специалисты считают, что зловред пытался выявлять старые модели модемов и телефонов, получая о них важные данные, включая IMEI, IMSI, MSISDN. После получения данных об обнаруженных устройствах разработчики Attor создавали модули для работы с конкретными моделями девайсов.
Компания ESET смогла проанализировать несколько десятков случаев заражения. Правда, выяснить масштабы заражения, установив, какие данные были похищены, эксперты не смогли. Возможно, Attor гораздо функциональнее, просто сейчас удалось обнаружить не все модули.
«Совершенно очевидный случай продвинутого кибершпионажа, — считает Олег Галушкин, генеральный директор компании SEC Consult Services. — По всей видимости, разработкой занималась спецслужба не слишком дружественного РФ иностранного государства, о чем прямо свидетельствует эффективность киберкампании и то, что ее в течение нескольких лет не удавалось обнаружить. Однако конкретная атрибуция в таких случаях — крайне проблемная и, в конечном счете, неблагодарная вещь».
«Деятельность злоумышленников, которые используют Attor, преимущественно направлена на дипломатические представительства и правительственные учреждения, а также на пользователей нескольких российских сервисов. Атаки продолжаются по меньшей мере с 2013 года», — отмечают специалисты ESET.