بدافزار جدید، جاسوسی دیپلومات ها و اهداف برجسته دولت را می کند

بدافزار جدید، جاسوسی دیپلومات ها و اهداف برجسته دولت را می کند

محققان امنیتی ESET یک بدافزار جدید و ماژولار را شناسایی کرده اند که طراحی شده تا دیپلمات ها و اشخاص دولتی را هدف قرار دهد. این بدافزار حداقل به مدت 7 سال در حملاتی با هدف افراد روسی زبان مورد استفاده قرار گرفت.

این نژاد از بدافزار جاسوسی توسط محققان، Attor نام گرفته که دارای قابلیت های غیر معمول از جمله استفاده از ماژول های رمزنگاری شده، ارتباطات مبتنی بر Tor و افزونه ای که برای انگشت نگاری GSM با استفاده از پروتکل AT طراحی شده است.

Zuzana Hromcová محقق بدافزار ESET می گوید: "مهاجمانی که از Attor استفاده می کنند، روی ماموریت های دیپلماتیک و موسسات دولتی تمرکز می کنند."

این حملات که حداقل از سال 2013 ادامه دارد، به شدت کاربران سرویس های روسی را مورد هدف قرار داده است، به ویژه آنهایی که نگران حریم شخصی خود هستند.

پلتفرم جاسوسی ماژولار

Attor با استفاده از معماری ماژولار، با ماژول هایی که بطور خاص برای استقامت، جمع آوری داده ها، استخراج، و ارتباط با سرور فرمان و کنترل (c2) ساخته شده است.

ESET هشت ماژول (که به عنوان پلاگین شناخته می شود) پیدا کرد، که به عنوان یک installer/watchdog، یک دستگاه مانیتور، یک ضبط کننده صدا، grabber صفحه نمایش، یک keylogger برای دکمه ها و کلیپ بورد، یک آپلودکننده فایل، یک توزیع کننده فرمان و یک ماژول ارتباطی.

ESET در هنگام تجزیه و تحلیل زنجیره این آلودگی بر روی چند ده قربانی آلوده به Attor متوجه شد که این بدافزار با استفاده از یک dropper در قالب یک ماژول dispatcher که از چندین روش رمزنگاری و تکنیک فریب استفاده می کند، ایجاد می شود.

این توزیع کننده خودش را در اکثر فرآیندهای در حال اجرا بر روی دستگاه های در معرض خطر به جزء محصولات امنیتی Symantec و چندین فرآیند سیستم تزریق می کند.

سپس Attor، مانیتورینگ و harvesting را با بارگیری افزونه های اجرا شده به عنوان DLL، فقط در فرآیندهایی که براشون دارای ارزش هستند مانند مرورگرهای وب و پیام رسانها فعال می کند.

معماری ماژول های Attor

ESET اعلام کرد: Attor فرآیندهای خاص را هدف قرار می دهد، از جمله این موارد، فرآیندهای مرتبط با شبکه های اجتماعی روسی و برخی از ابزارهای رمزنگاری/امضای دیجیتال، سرویس VPN HMA، سرویس های رمزنگاری end-to-end ایمیل برای Hushmail و Bat، و ابزار رمزگذاری دیسک TrueCrypt می باشد.

افزونه ها در دیسک به صورت فشرده و رمزنگاری شده ذخیره می شوند و با فرم معتبر DLL فقط در مموری بازیابی می شوند، هنگامیکه dispatcher پلاگین را بارگیری می کند. این احتمالاً تلاشی برای خنثی کردن شناسایی می باشد، زیرا پلاگین DLL ها هرگز به صورت رمزنگاری نشده بر روی دیسک وجود ندارند.

ESET در گزارش مربوط به Attor اعلام کرد: "Attor داخل خود ساختاری دارد برای اضافه کردن پلاگین های جدید، برای بروز رسانی خود، و برای استخراج اتوماتیک داده های جمع آوری کرده و فایل های لاگ.

قابل توجه ترین افزونه بارگیری شده توسط Attor، دستگاه مانیتورینگ می باشد که از اطلاعات ابرداده ی برداشت شده از دستگاه های تلفن، مودم، دستگاه های ذخیره سازی برای اثرانگشت استفاده می کند.

مهمتر از همه، این پلاگین از دستورات AT استفاده می کند که در دهه 1980 توسعه یافته است و برای برقراری ارتباط با دستگاه های تلفن و مودم GSM/GPRS که به پورت COM سیستم های آلوده وصل می شوند، استفاده می شود.

ESET فکر می کند که از قابلیت اثر انگشت GSM این افزونه برای هدف قرار دادن مودم ها و تلفن های قدیمی تر و بازیابی چندین شناسه دستگاه و اشتراک مانند IMSI، IMEI، MSISDN و نسخه نرم افزاری استفاده می شود.

Hromcová افزود: دستگاه اثر انگشت می تواند اطلاعات بیشتری سرقت کند. اگر مهاجمان در مورد دستگاه متصل اطلاعاتی کسب کنند، آنها می توانند یک افزونه سفارشی ایجاد و پیاده سازی کنند که بتواند با استفاده از فرمان های AT از دستگاه اطلاعات سرقت کند و تغییراتی شامل تغییر سیستم عامل در آن ایجاد کنند.

این پلتفرم زیرک در حمله علیه اهداف سطح بالا استفاده شد

استفاده کردن Attor، از ارتباطات Tor و تکنیک های فریب اجازه می دهد تا ناشناس باقی بماند، با اینکه حداقل از سال 2013 برای حملات بسیار هدفمند مورد استفاده قرار گرفته است.

با اینکه ESET قادر به تجزیه و تحلیل چند ده مورد از این آلودگی ها بود، محققان نتوانستند بردار دسترسی اولیه یا اطلاعات کامل بدافزار را که برای جمع آوری و استخراج طراحی شده با دقت مشخص کنند.

ESET افزود: اطلاعات این نسخه اذعان دارد که دیگر پلاگین هایی وجود دارد که ما هوز آنها را ندیدیم.

با این حال، تحقیقات ما بینش عمیقی در مورد بدافزار ارائه می دهد و نشان می دهد که به خوبی ارزش پیگیری عملیات این گروه که پشت این بدافزار قرار دارند را دارد.

منبع: Bleepingcomputer.com