“Érdekes” új kémplatformot fedezett fel az ESET

Az ESET új kémplatformot fedezett fel, amely komplex architektúrával, valamint számos észlelést és elemzést megnehezítő funkcióval rendelkezik.

Az „ATTor”-nak elnevezett platform két fontos tulajdonsággal rendelkezik: az egyik modulja AT protokollt használ a csatlakoztatott GSM eszközök feltérképezéséhez (fingerprinting), illetve a Tort használja a hálózati kommunikációhoz. „Az ATTort használó támadók leginkább diplomáciai képviseletekre és kormányzati intézményekre összpontosítanak. Ezek a célzott támadások, amelyek feltételezhetően 2013. óta zajlanak, jobbára orosz szolgáltatások felhasználóit célozzák meg, különösen azokat, akik magánéletük miatt kiemelten aggódnak” – mondta Zuzana Hromcová, az ESET kártevőelemzője. Az Attor moduláris felépítésű: egy központi vezérlő egységből (dispatcher) és betölthető modulokból (pluginok) áll. A kémprogram előre meghatározott folyamatokat céloz, például az olyan orosz közösségi hálózatokkal (Webmoney, Agentkontakte, Multifon, Rambler, Qui, Infium és egyéb orosz közösségi média és üzenetküldő oldalak) és néhány titkosítási/digitális aláírási segédprogrammal kapcsolatos folyamatokat, mint a HMA VPN szolgáltatás, a végpontok közötti titkosítási e-mailszolgáltatások (Hushmail és The Bat!), valamint a TrueCrypt lemeztitkosító segédprogram.

Az ATTor moduljai által telepített képességek közül kettő igazán egyedi a ritka jellemzőik miatt: ez pedig a hálózati kommunikáció és a GSM-eszközök feltérképezése. Az anonimitás megőrzése és lenyomozhatóság megelőzése érdekében a platform a Tor protokollt használja a távoli vezérlő szerver (C&C, command-and-control) eléréséhez. Az ATTor arzenáljának legkülönlegesebb modulja információkat gyűjt mind a csatlakoztatott modem- és telefoneszközökről, mind pedig a csatlakoztatott meghajtókról és az ezeken található fájlokról. Az ESET kutatói szerint ennek elsődleges célja a soros porton keresztül a számítógéphez csatlakoztatott GSM eszközök feltérképezése. Az Attor úgynevezett „AT parancsokat” használ az eszközzel való kommunikációhoz és az azonosító kódok lekérésére (IMSI, IMEI, MSISDN és az eszközön futó szoftver verziója).

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.