Шпионская малварь
На днях компания ESET выпустила аналитику по работе зловреда Attor. Этот зверь отличился атаками на государственные и дипломатические учреждения в Восточной Европе.
Основное направление деятельности Attor – это шпионаж. Попав на компьютер жертвы, малварь изучает обстановку и отсылает собранную информацию о своём окружении в командный пункт. Общение шпиона и командования происходит через инфраструктуру Tor.
Далее, командный центр высылает подкрепление для своего шпиона – зашифрованные функциональные модули записи звука, экрана, мониторинга устройств, установщик полезной нагрузки, кейлоггер (перехват нажатия клавиш) и т.д.
Attor живёт в сети с 2013-го, активно показал себя в прошлом году. А его исследование вышло только сейчас. Такая задержка обусловлена тем, что Attor изменяет себя за счёт подгружаемых модулей, используя при этом Tor и шифрование самих дополнений.
Аналитики отмечают, что у зловреда есть и ещё одна особенность – уже упомянутый нами монитор устройств. Благодаря этому модулю Attor собирает данные о подключаемых к компьютеру мобильных устройствах, видимо, с целью дальнейшего шпионажа и за ними. Сбор информации происходит путём рассылки AT-команд (запросов для модемов и мобильников) устройствам, подключённым через COM-порт.
Здесь я замечу, что то же самое можно было бы делать и при подключении по USB, но Attor на этом не специализируется.
Такое странное использование устаревших портов говорит о том, что целью нашего сегодняшнего персонажа являются организации, где используют старые модели сотовых телефонов.
Эта история снова говорит о том, что ты должен защищать свои данные, исходя из стоимости своей информации и особенностей своей инфраструктуры, ведь на каждого найдётся малварь именно под него.