`

Schneider Electric - Узнайте все про энергоэффективность ЦОД


СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Новая шпионская платформа похищает цифровые отпечатки GSM-устройств

0 
 

Компания ESET сообщила, что ее специалисты обнаружили ряд шпионских атак на правительственные и дипломатические учреждения Восточной Европы. Анализ показывает, что эти атаки проводились с помощью малоизвестной платформы для кибершпионажа.

Платформа обладает модульной архитектурой, а также двумя заметными особенностями: AT-протоколом, который используется одним из плагинов для сбора цифровых отпечатков GSM-устройств, а также Tor, который используется для сетевых соединений.

«Деятельность злоумышленников, которые используют Attor, преимущественно направлена на дипломатические представительства и правительственные учреждения, а также на пользователей нескольких российских сервисов. Атаки продолжаются по меньшей мере с 2013 года», — отмечают специалисты ESET.

Attor имеет модульную архитектуру: она состоит из диспетчера и загружаемых плагинов, которые используют диспетчер для реализации основных функциональных возможностей. Эти плагины доставляются на инфицированный компьютер в виде зашифрованных DLL-файлов. Они только полностью восстановлены в памяти, поэтому без доступа к диспетчеру трудно получить и расшифровать плагины Attor.

В другой части платформы Attor дополнительно проверяется, использует ли жертва сервис TrueCrypt. «Механизм проверки является уникальным, в частности Attor использует специфические для TrueCrypt коды управления для соединения с приложением, которое показывает, что авторы вредоносного программного обеспечения должны понимать открытый код инсталлятора TrueCrypt, — отмечают специалисты ESET. — Однако, нам не известно, была эта методика описана ранее».

Среди возможностей Attor, реализованных с помощью плагинов, можно выделить две необычные особенности: сетевое соединение и цифровой отпечаток на GSM-устройствах. Чтобы обеспечить анонимность и избежать отслеживания Attor использует протокол службы Tor: Onion с onion-адресом для своего командного сервера (C&C).

Инфраструктура Attor для соединения C&C охватывает четыре компонента — диспетчера, который обеспечивает функции шифрования, а также три плагина, которые реализуют протокол FTP, функционал Tor и сетевое соединение. Такой механизм делает невозможным анализ сетевого соединения Attor при отсутствии всех компонентов.

Самый необычный плагин в арсенале Attor собирает информацию о подключенных модемах, телефонах и накопителях, а также информацию о файлах, которые на них хранятся. По мнению исследователей ESET, злоумышленников больше интересуют цифровые отпечатки GSM-устройств, подключенных к компьютеру через последовательный порт. Attor использует так называемые AT-команды для соединения с устройством и получения идентификаторов, в частности, IMSI, IMEI, MSISDN и версии программного обеспечения.

«Неизвестные сегодня для большинства людей AT-команды для управления модемами, которые были разработаны еще в 80-х годах прошлого века и до сих пор используются в большинстве современных смартфонов», — объясняют специалисты ESET. Поэтому среди возможных причин использования злоумышленниками AT-команд может быть то, что шпионская платформа направлена на модемы и устаревшие модели телефонов. Кроме этого, AT-команды могут использоваться для соединения с некоторыми конкретными устройствами. Возможно, злоумышленники узнают об использовании жертвами устройств с помощью других методов шпионажа.

Как отмечает ESET, цифровые отпечатки могут стать базой для дальнейшего похищения данных. Если злоумышленники узнают о типе подключенного устройства, они могут создать и развернуть персонализированный плагин, который с помощью AT-команд может похищать данные и вносить изменения в устройства, в частности к встроенному программному обеспечению.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT