Kto szpieguje dyplomatów? Attor atakuje rosyjskojęzycznych użytkowników

14 października 2019, 15:35
matrix
fot. geralt / pixabay

Dyplomaci i rosyjskojęzyczni użytkownicy zagrożeni oprogramowaniem szpiegowskim? Wykryto i przebadano złośliwe oprogramowanie o nazwie Attor. Nie jest jasne kto jest odpowiedzialny za jego wypuszczenie ani jaka skala użytkowników która padła jego ofiarą. Ekspertów zaskoczył wysokospecjalistyczny poziom przygotowania oprogramowania charakteryzujący hakerów pracujących na zlecenie rządów. O całej sprawie pisze portal ZDNet.

Eksperci firmy ESET, którzy wykryli oprogramowanie, twierdzą, że było ono użytkowane już od 2013 roku i wykorzystywana do szpiegowania dyplomatów i rosyjskojęzycznych użytkowników z Europy Wschodniej. Zdaniem specjalistów firmy zbadana aktywność nosi znamiona ukierunkowanej kampanii szpiegowskiej prowadzonej przez wyspecjalizowany podmiot z bardzo wąsko określonym niewielkim wyborem celów.

W ich opinii narzędzie, nie tylko było wykorzystywane do szpiegowania rosyjskojęzycznych użytkowników, ale zostało specjalnie pod nich zaprojektowane „Nasz wniosek jest taki, że Attor jest szczególnie ukierunkowany na rosyjskojęzycznych użytkowników, co dodatkowo potwierdza fakt, że większość celów znajduje się w Rosji”, potwierdziła Zuzana Hromcová, analityczka malware w ESET w komentarzu dla portalu ZDNet. „Inne cele znajdują się w Europie Wschodniej i obejmują misje dyplomatyczne i instytucje rządowe” - dodała. 

Oprogramowanie jest wycelowane w popularne aplikacje i usługi w tym również w portale społecznościowe np. Odnoklassniki i VKontakt, VoIP Multifon, aplikacje IM Qip oraz Infium, wyszukiwarkę Rambler, pocztę elektroniczną Yandex i Mail.ru oraz system płatności WebMoney.

Attor, jak wskazują eksperci nie jest typowym złośliwym oprogramowaniem, ale bardzo specjalistycznym narzędziem, które zazwyczaj przygotowywane jest przed podmioty działające na zlecenia rządów. Eksperci pracowali miesiącami nad rozszyfrowaniem oprogramowania, w końcu udało im się zidentyfikować moduły odpowiedzialny za robienie zrzutów z ekranu, nagrywanie dźwięku, przesyłania plików na serwer, konfigurowania proxy, rejestrację klawiatury i schowka, kontrolujące instalator, narzędzia do kontroli urządzenia oraz moduł wspierający komunikację poprzez sieć Tor.

Dla badaczy szczególnie ciekawy jest moduł umożliwiający kontrolę urządzenia (device monitoring), który pozwalał również na podglądanie przepływu strumieni danych pomiędzy innymi urządzeniami podłączonymi do tego zainfekowanego. Po tym jak urządzenie zostało podłączone do innego urządzenia np. modemu czy starszego telefonu jest wstanie pobierać informacje również i z tego urządzenia. „[Ten moduł] jest odpowiedzialny za zbieranie metadanych, a nie samych plików, dlatego uważamy, że jest to wtyczka używana do pobierania odcisków palców urządzeń, a zatem prawdopodobnie używana jako baza do dalszej kradzieży danych”, powiedziała dla ZDNet Hromcová. 

Również ciekawym z punktu widzenia funkcjonowania złośliwego oprogramowania był moduł do odczytywania odcisków palców z zainfekowanych urządzeń. Eksperci ESET stwierdzili, że nie jest znane pochodzenie oprogramowania to jednak potwierdzili, że jest to jedno z najbardziej wyrafinowanych narzędzi szpiegowskich.

KomentarzeLiczba komentarzy: 1
Qwerty
poniedziałek, 14 października 2019, 21:09

Pierwsza myśl to, że Amerykanie. Druga myśl, że jednak Chińczycy. A tak naprawdę to znowu napisał to Izrael i sprzedał ten program jednym i drugim.

Reklama
Tweets CyberDefence24