Эксперты считают, что целями шпиона были сотрудники дипмиссий и госслужащие, пользующиеся устаревшими телефонами.
Специалисты в сфере информационной безопасности обнаружили необычную вредоносную программу, нацеленную на русскоязычных пользователей. Приложение было названо Attor, оно имеет модульную структуру и предназначено для похищения информации. Эксперты предполагают, что зловред ориентирован на сотрудников дипломатических миссий и правительственных учреждений.
Как выяснили аналитики, командный сервер Attor размещен в защищенном пространстве сети TOR. Центральный компонент зловреда — диспетчер — отвечает за загрузку и установку плагинов, определяющих функциональность каждого конкретного экземпляра программы.
Они хранятся на диске в закодированном и сжатом виде и расшифровываются непосредственно в памяти целевой машины при помощи открытого ключа RSA, встроенного в диспетчер. Такой механизм затрудняет анализ — по словам исследователей, им понадобилось около года, чтобы восстановить восемь модулей шпиона.
Специалисты обнаружили следующие плагины Attor:
Наибольший интерес экспертов вызвал модуль мониторинга, который создавал цифровой отпечаток подключенных к компьютеру модемов, мобильных телефонов и жестких дисков. Программа отправляла устройствам AT-команды и копировала номера IMEI, идентификаторы IMSI и другие метаданные. Несмотря на то что AT-инструкции поддерживаются современными смартфонами, вредоносный модуль игнорировал подключения через USB и начинал работу, только получив сигнал через COM-порт.
По мнению специалистов, такое поведение программы обусловлено тем, что преступники охотились за данными небольшой группы жертв, которые намеренно пользуются для связи устаревшими моделями телефонов. Как заявили ИБ-аналитики, Attor активен с 2013 года, однако обнаружить его удалось лишь около года назад.
В сентябре этого года стало известно, что другая команда киберпреступников использовала устаревшую технологию работы с SIM-картами, чтобы следить за пользователями мобильных телефонов. При помощи утилиты S@T Browser, которая не обновлялась с 2009 года, злоумышленники получали доступ к IMEI устройства и данным о его местоположении. Все операции осуществлялись через обычный GSM-модем, стоимостью около $10.