Разделы

Безопасность Техническая защита Маркет

Eset рассказала о кибершпионаже за пользователями российских сервисов

Eset изучила шпионскую платформу Attor, которая применялась для таргетированных атак на пользователей из России и Восточной Европы. По данным исследователей, атаки велись как минимум с 2013 года.

Для слежки за жертвой Attor анализирует активные процессы — популярные браузеры, мессенджеры, почтовые приложения, сервис IP-телефонии, соцсети «Одноклассники» и «Вконтакте».

Обнаружив один из этих процессов, программа делает снимки экрана и отправляет их злоумышленникам. Также функционал Attor позволяет записывать аудио, перехватывать набранный текст и содержимое буфера обмена.

По данным экспертов Eset, жертвами Attor стали пользователи из России, Украины, Словакии, Литвы и Турции, в т.ч. дипломаты и сотрудники госучреждений.

Помимо географического и языкового таргетинга, создатели Attor проявляют особый интерес к пользователям, которых беспокоит вопрос конфиденциальности. Attor настроен делать снимки экрана при активации VPN-сервисов, утилиты для шифрования диска TrueCrypt и ряда подобных приложений.

Attor состоит из диспетчера и плагинов с различным функционалом, которые загружаются на скомпрометированное устройство в виде зашифрованных файлов DLL. Одной из особенностей платформы является использование системы Tor для анонимной связи с командным сервером.

Исследование CNews Analytics и «Лаборатории Касперского»: как российские компании защищают свои ИТ-системы в облаке
Облака

Другой отличительной чертой стал АТ-протокол в одном из плагинов, который собирает информацию о подключенных модемах, телефонах (в том числе устаревших моделей) и файловых накопителях.

AT-команды, которые использует протокол, были разработаны в 1977 году компанией Hayes для набора номера модема, изменения настроек соединения и др. Эти команды до сих пор используются в большинстве современных смартфонов — с их помощью можно инициировать отправку SMS-сообщений, эмулировать события на экране и др.

Attor использует AT-команды для связи с устройствами и получения идентификаторов, включая IMSI, IMEI, MSISDN и версию используемой ОС. По мнению экспертов Eset, злоумышленников больше интересуют цифровые отпечатки GSM-устройств, подключенных к компьютеру через последовательный порт.

«Создание цифрового отпечатка устройств может стать основой для дальнейшей кражи данных. Если киберпреступники узнают тип подсоединенного устройства, они смогут собрать персональный плагин, способный при помощи AT-команд украсть с него данные или внести изменения», — отметила Зузана Хромцова, вирусный аналитик компании Eset.