Выявлена кампания кибершпионажа, нацеленная на российских дипломатов

Компания ESET раскрыла кампанию кибершпионажа, жертвами которой становятся исключительно русскоговорящие пользователи, в том числе – сотрудники государственных организаций и дипломатических служб РФ в Восточной Европе и Турции. Используемое в атаках вредоносное ПО, получившее название Attor, отличается высокой изощренностью и, судя по всему, было создано разработчиками, имеющими поддержку на государственном уровне. Зловред предположительно существует с 2013 года, но долгое время ему удавалось скрываться от внимания исследователей и защитных решений.

Attor обладает разветвленной модульной инфраструктурой, выстроенной вокруг центрального компонента – диспетчера. Он использует зашифрованное соединение для загрузки дополнительных модулей, в свою очередь закамуфлированных под защищенные шифрованием динамически подключаемые библиотеки – dll. Они полностью раскрываются лишь в памяти, используя ключ шифрования, встроенный в код диспетчера, а потому обнаружить и тем более расшифровать их – чрезвычайно нелегкая задача. Тем не менее исследователям ESET удалось выявить как минимум 8 дополнительных вредоносных модулей. Они ответственны за мониторинг системы инфицированного устройства, клавиатурный шпионаж, создание скриншотов, запись аудио, установление зашифрованного соединения с командными серверами через сеть Tor и ряд других функций.

Особое внимание экспертов ESET привлек модуль, собирающий данные подключенных к настольному компьютеру или ноутбуку устройств. Он использует набор АТ-команд, которые применялись еще в 1980-е годы для подключения к компьютерам GSM-модемов и мобильных устройств первых поколений. Это выглядит весьма странно, поскольку было бы куда проще похищать данные либо инфицировать зловредами современные устройства, подключаемые посредством USB-соединения. Однако создатели Attor полностью игнорируют эту возможность. В ESET предполагают, что это свидетельствует о чрезвычайной осведомленности организаторов атаки. Дело в том, что кастомизированные мобильные устройства и специально разработанные для них GSM-платформы нередко используются разведывательными службами для планирования и осуществления своих операций. Вероятно, именно участники этих операций в первую очередь интересуют организаторов атак Attor.

Источник: ZDNet