Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Эксперты считают, что целями шпиона были сотрудники дипмиссий и госслужащие, пользующиеся устаревшими телефонами.
Специалисты в сфере информационной безопасности обнаружили необычную вредоносную программу, нацеленную на русскоязычных пользователей. Приложение было названо Attor, оно имеет модульную структуру и предназначено для похищения информации. Эксперты предполагают, что зловред ориентирован на сотрудников дипломатических миссий и правительственных учреждений.
Как выяснили аналитики, командный сервер Attor размещен в защищенном пространстве сети TOR. Центральный компонент зловреда — диспетчер — отвечает за загрузку и установку плагинов, определяющих функциональность каждого конкретного экземпляра программы.
Они хранятся на диске в закодированном и сжатом виде и расшифровываются непосредственно в памяти целевой машины при помощи открытого ключа RSA, встроенного в диспетчер. Такой механизм затрудняет анализ — по словам исследователей, им понадобилось около года, чтобы восстановить восемь модулей шпиона.
Специалисты обнаружили следующие плагины Attor:
Наибольший интерес экспертов вызвал модуль мониторинга, который создавал цифровой отпечаток подключенных к компьютеру модемов, мобильных телефонов и жестких дисков. Программа отправляла устройствам AT-команды и копировала номера IMEI, идентификаторы IMSI и другие метаданные. Несмотря на то что AT-инструкции поддерживаются современными смартфонами, вредоносный модуль игнорировал подключения через USB и начинал работу, только получив сигнал через COM-порт.
По мнению специалистов, такое поведение программы обусловлено тем, что преступники охотились за данными небольшой группы жертв, которые намеренно пользуются для связи устаревшими моделями телефонов. Как заявили ИБ-аналитики, Attor активен с 2013 года, однако обнаружить его удалось лишь около года назад.
В сентябре этого года стало известно, что другая команда киберпреступников использовала устаревшую технологию работы с SIM-картами, чтобы следить за пользователями мобильных телефонов. При помощи утилиты S@T Browser, которая не обновлялась с 2009 года, злоумышленники получали доступ к IMEI устройства и данным о его местоположении. Все операции осуществлялись через обычный GSM-модем, стоимостью около $10.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |