Os investigadores da ESET descobriram vários ataques de espionagem de alto nível destinados a entidades governamentais e diplomáticas na Europa Oriental. A análise mostra que estes ataques foram realizados usando uma plataforma de ciber espionagem não detetada anteriormente. A plataforma é notável pela sua arquitetura modular, associada a dois recursos importantes: o protocolo AT usado por um dos seus plugins para o fingerprinting de dispositivos GSM e o Tor, que é utilizado para as suas comunicações na rede. Devido a esses recursos, os investigadores da ESET deram o nome à plataforma de "Attor".

“Os hackers que usam a Attor estão focados em missões diplomáticas e instituições governamentais. Esses ataques, que decorrem pelo menos desde 2013, são completamente dirigidos aos utilizadores destes serviços na Rússia, especificamente aqueles que são preocupados com a sua privacidade”, refere Zuzana Hromcová, investigadora de malware da ESET, que conduziu a análise.

A Attor possui uma arquitetura modular, que consiste num distribuidor e plugins carregáveis ​​que dependem desse distribuidor para implementar funcionalidades básicas. Esses plugins chegam ao computador comprometido como DLLs encriptadas. Eles são totalmente recuperáveis na memória. "Como resultado, sem acesso ao expedidor, é difícil obter os plugins da Attor e desencriptá-los", explica Hromcová.

A Attor tem como alvos processos específicos - entre os quais, processos associados às redes sociais na Rússia e alguns utilitários de encriptação/ assinatura digital, o serviço de VPN HMA, serviços de e-mail Hushmail e The Bat! com encriptação ponto-a-ponto, e o utilitário de encriptação de disco TrueCrypt.

A utilização do TrueCrypt pela vítima é inspeccionada com mais detalhe noutra parte da Attor. “A forma como a Attor determina a versão do TrueCrypt é única. A Attor usa códigos de controlo específicos do TrueCrypt para comunicar com a aplicação, o que mostra que os autores do malware devem entender o código open-source do instalador do TrueCrypt. Não temos conhecimento de que esta técnica tenha sido documentada antes”, refere Hromcová.

Entre os recursos da Attor implementados pelos seus plugins, dois destacam-se pelos seus recursos incomuns: comunicação em rede e o fingerprinting de dispositivos GSM. Para garantir o anonimato e a impossibilidade de rastreamento, a Attor utiliza o Tor: Onion Service Protocol, com um endereço básico para o servidor C&C.

A infraestrutura da Attor para comunicações C&C abrange quatro componentes - o expedidor com funções de encriptação e três plugins que implementam o protocolo FTP, a funcionalidade Tor e a comunicação de rede atual. "Este mecanismo torna impossível analisar a comunicação de rede da Attor, a menos que possuam todas as peças do quebra-cabeça", explica Hromcová.

O plugin mais curioso do arsenal da Attor reúne informações sobre ambos os dispositivos de modem/ telefone e unidades de armazenamento ligados, para além de informações sobre os arquivos presentes nessas unidades. De acordo com os investigadores da ESET, o principal interesse é o fingerprinting dos dispositivos GSM ligados ao computador por uma porta de série. A Attor usa os chamados "comandos AT" para comunicar com o dispositivo e recuperar identificadores - entre outros, IMSI, IMEI, MSISDN e a versão do software.

“Desconhecidos para muitas pessoas hoje em dia, os comandos AT, que foram desenvolvidos originalmente na década de 1980 para operar modems, ainda são usados ​​na maioria dos atuais smartphones”, explica Hromcová.

Entre as possíveis razões para a Attor usar os comandos AT está o fato da plataforma atingir modems e telefones mais antigos. Como alternativa, pode ser usada para se comunicar com alguns dispositivos específicos. Possivelmente, os criminosos aprendem sobre o uso desses dispositivos pela vítima usando algumas outras técnicas de reconhecimento.

“O fingerprinting de um dispositivo pode servir de base para o roubo de mais dados. Se criminosos tiverem conhecimento sobre o tipo de dispositivo ligado, poderão criar e implementar um plugin personalizado que seria capaz - utilizando comandos AT - de roubar dados desse dispositivo e fazer alterações no mesmo, incluindo a alteração do firmware do dispositivo”, conclui Hromcová.

Classifique este item
(0 votos)
Ler 1851 vezes
Tagged em
Top