Специалисты в сфере информационной безопасности обнаружили необычную вредоносную программу, нацеленную на русскоязычных пользователей. Приложение было названо Attor, оно имеет модульную структуру и предназначено для похищения информации. Эксперты предполагают, что зловред ориентирован на сотрудников дипломатических миссий и правительственных учреждений.

Как выяснили аналитики, командный сервер Attor размещен в защищенном пространстве сети TOR. Центральный компонент зловреда — диспетчер — отвечает за загрузку и установку плагинов, определяющих функциональность каждого конкретного экземпляра программы.

Они хранятся на диске в закодированном и сжатом виде и расшифровываются непосредственно в памяти целевой машины при помощи открытого ключа RSA, встроенного в диспетчер. Такой механизм затрудняет анализ — по словам исследователей, им понадобилось около года, чтобы восстановить восемь модулей шпиона.

Модульная структура зловреда

Специалисты обнаружили следующие плагины Attor:

  • модуль записи звука;
  • компонент для загрузки файлов;
  • кейлоггер и программа перехвата буфера обмена;
  • утилита для создания скриншотов;
  • монитор устройств;
  • прокси-сервер;
  • установщик полезной нагрузки;
  • TOR-клиент.

Наибольший интерес экспертов вызвал модуль мониторинга, который создавал цифровой отпечаток подключенных к компьютеру модемов, мобильных телефонов и жестких дисков. Программа отправляла устройствам AT-команды и копировала номера IMEI, идентификаторы IMSI и другие метаданные. Несмотря на то что AT-инструкции поддерживаются современными смартфонами, вредоносный модуль игнорировал подключения через USB и начинал работу, только получив сигнал через COM-порт.

По мнению специалистов, такое поведение программы обусловлено тем, что преступники охотились за данными небольшой группы жертв, которые намеренно пользуются для связи устаревшими моделями телефонов. Как заявили ИБ-аналитики, Attor активен с 2013 года, однако обнаружить его удалось лишь около года назад.

В сентябре этого года стало известно, что другая команда киберпреступников использовала устаревшую технологию работы с SIM-картами, чтобы следить за пользователями мобильных телефонов. При помощи утилиты S@T Browser, которая не обновлялась с 2009 года, злоумышленники получали доступ к IMEI устройства и данным о его местоположении. Все операции осуществлялись через обычный GSM-модем, стоимостью около $10.

Категории: Аналитика, Вредоносные программы, Главное