menu
menu
logo
Выявлена кампания кибершпионажа, нацеленная на российских дипломатов

Выявлена кампания кибершпионажа, нацеленная на российских дипломатов

Компания ESET раскрыла кампанию кибершпионажа, жертвами которой становятся исключительно русскоговорящие пользователи, в том числе – сотрудники государственных организаций и дипломатических служб РФ в Восточной Европе и Турции. Используемое в атаках вредоносное ПО, получившее название Attor, отличается высокой изощренностью и, судя по всему, было создано разработчиками, имеющими поддержку на государственном уровне. Зловред предположительно существует с 2013 года, но долгое время ему удавалось скрываться от внимания исследователей и защитных решений.

Attor обладает разветвленной модульной инфраструктурой, выстроенной вокруг центрального компонента – диспетчера. Он использует зашифрованное соединение для загрузки дополнительных модулей, в свою очередь закамуфлированных под защищенные шифрованием динамически подключаемые библиотеки – dll. Они полностью раскрываются лишь в памяти, используя ключ шифрования, встроенный в код диспетчера, а потому обнаружить и тем более расшифровать их – чрезвычайно нелегкая задача. Тем не менее исследователям ESET удалось выявить как минимум 8 дополнительных вредоносных модулей. Они ответственны за мониторинг системы инфицированного устройства, клавиатурный шпионаж, создание скриншотов, запись аудио, установление зашифрованного соединения с командными серверами через сеть Tor и ряд других функций.

Особое внимание экспертов ESET привлек модуль, собирающий данные подключенных к настольному компьютеру или ноутбуку устройств. Он использует набор АТ-команд, которые применялись еще в 1980-е годы для подключения к компьютерам GSM-модемов и мобильных устройств первых поколений. Это выглядит весьма странно, поскольку было бы куда проще похищать данные либо инфицировать зловредами современные устройства, подключаемые посредством USB-соединения. Однако создатели Attor полностью игнорируют эту возможность. В ESET предполагают, что это свидетельствует о чрезвычайной осведомленности организаторов атаки. Дело в том, что кастомизированные мобильные устройства и специально разработанные для них GSM-платформы нередко используются разведывательными службами для планирования и осуществления своих операций. Вероятно, именно участники этих операций в первую очередь интересуют организаторов атак Attor.

Источник: ZDNet

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте