Главная / Пресс-центр / Новости технологий


Новости технологий


Выявлена кампания кибершпионажа, нацеленная на российских дипломатов
11 Октября 2019

Выявлена кампания кибершпионажа, нацеленная на российских дипломатов

Компания ESET раскрыла кампанию кибершпионажа, жертвами которой становятся исключительно русскоговорящие пользователи, в том числе – сотрудники государственных организаций и дипломатических служб РФ в Восточной Европе и Турции. Используемое в атаках вредоносное ПО, получившее название Attor, отличается высокой изощренностью и, судя по всему, было создано разработчиками, имеющими поддержку на государственном уровне. Зловред предположительно существует с 2013 года, но долгое время ему удавалось скрываться от внимания исследователей и защитных решений.

Attor обладает разветвленной модульной инфраструктурой, выстроенной вокруг центрального компонента – диспетчера. Он использует зашифрованное соединение для загрузки дополнительных модулей, в свою очередь закамуфлированных под защищенные шифрованием динамически подключаемые библиотеки – dll. Они полностью раскрываются лишь в памяти, используя ключ шифрования, встроенный в код диспетчера, а потому обнаружить и тем более расшифровать их – чрезвычайно нелегкая задача. Тем не менее исследователям ESET удалось выявить как минимум 8 дополнительных вредоносных модулей. Они ответственны за мониторинг системы инфицированного устройства, клавиатурный шпионаж, создание скриншотов, запись аудио, установление зашифрованного соединения с командными серверами через сеть Tor и ряд других функций.

Особое внимание экспертов ESET привлек модуль, собирающий данные подключенных к настольному компьютеру или ноутбуку устройств. Он использует набор АТ-команд, которые применялись еще в 1980-е годы для подключения к компьютерам GSM-модемов и мобильных устройств первых поколений. Это выглядит весьма странно, поскольку было бы куда проще похищать данные либо инфицировать зловредами современные устройства, подключаемые посредством USB-соединения. Однако создатели Attor полностью игнорируют эту возможность. В ESET предполагают, что это свидетельствует о чрезвычайной осведомленности организаторов атаки. Дело в том, что кастомизированные мобильные устройства и специально разработанные для них GSM-платформы нередко используются разведывательными службами для планирования и осуществления своих операций. Вероятно, именно участники этих операций в первую очередь интересуют организаторов атак Attor.

Источник: ZDNet




Возврат к списку

Выявлена кампания кибершпионажа, нацеленная на российских дипломатов