استفاده از پلتفرم جاسوسی سایبری Attor در حملات هدفدار روسیه

به گزارش ESET، یک پلتفرم جاسوسی سایبری که اخیراً کشف شده، از Tor برای ارتباطات شبکه استفاده می‌کند.

این پلتفرم با عنوان Attor، به دلیل استفاده از افزونه GSM که از پروتکل فرمان AT و از شبکه Tor استفاده می‌کند، تنها در طی چند عملیات جاسوسی، ده‌ها قربانی را مورد هدف قرار داده است.

Attor به طور خاص به سرورهای روسی اختصاص داده شده، و لیست برنامه‌های هدفمند آن شامل مرورگرهای وب، برنامه‌های پیام رسانی فوری، سرویس‌های ایمیل، شبکه‌های اجتماعی محبوب در روسیه (Odnoklassniki ،VKontakte)، سیستم پرداخت WebMoney و سرویس VoIP ارائه شده توسط مخابرات روسیه و نیز اپراتور Multifon است.

پلتفرم جاسوسی سایبری Attor برای جاسوسی از کاربران بر روندهای فعال نظارت می‌کند و تصاویر برنامه‌های انتخاب شده را ثبت می‌کند. در حالی که بیشتر قربانیان آن در روسیه واقع شده‌اند، از این پلتفرم برای هدف قرار دادن افراد ساکن در اروپای شرقی در فعالیت‌هایی مانند مأموریت‌های دیپلماتیک و نهادهای دولتی نیز استفاده می‌شود.

محققان می‌گویند، براساس روشی که در آن فعالیت‌های کاربر TrueCrypt در Attor بررسی می‌شود، این بدافزار احتمالاً کد منبع باز نصب کننده TrueCrypt را درک نمی‌کند.

این بستر شامل یک توزیع کننده و افزونه‌های قابل بارگذاری است که همه آنها به صورت DLL اجرا می‌شوند و در اولین مرحله از حمله، بر روی سیستم مورد نظر ریخته می‌‍شوند.

این افزونه‌ها که بطور نامتقارن با RSA رمزگذاری شده است، تنها با استفاده از یک کلید عمومی RSA که در دستگاه توزیع کننده تعبیه شده است، می‌توانند به طور کامل در حافظه بازیابی شوند.

مکانیسم داخلی Attor همچنین به آن اجازه می‌دهد تا افزونه‌های جدیدی را اضافه کرده، خود را به‌روزرسانی کند و به صورت خودکار داده‌های جمع آوری شده و پرونده‌های ثبت شده را مجدداً جدا کند.

تنها دو افزونه با C&C ارتباط برقرار می‌کنند، یعنی آپلودکننده پرونده و توزیع کننده فرمان. اولی اطلاعاتی را که توسط سایر افزونه‌ها جمع آوری شده است مجزا می‌کند، و دومی دستورات و ابزارهای اضافی را از سرور C&C بارگیری می‌کند.

به طور کلی، زیرساخت‌های Attor برای ارتباطات C&C از چهار مؤلفه تشکیل شده است، یعنی یک ارسال کننده توابع رمزگذاری شده و سه پلاگین که پروتکل FTP، عملکرد Tor و ارتباط واقعی شبکه را پیاده سازی می‌کند.

علاوه بر استفاده از سرور C&C در شبکه Tor، این پلتفرم فقط با فعال کردن افزونه‌های مرتبط در صورت اجرا در مرورگر، یک برنامه پیام رسانی فوری یا سایر نرم‌افزارهای شبکه، ارتباطات شبکه را مخفی نگه می‌دارد.

به محض وصل شدن مودم یا تلفن به درگاه COM، افزونه مانیتور دستگاه برای برقراری ارتباط با دستگاه، از دستورات AT استفاده می‌کند.

با توجه به اینکه فقط دستگاه‌های متصل از طریق درگاه COM هدف قرار گرفته‌اند، محققان حدس می‌زنند که Attor تنها مودم‌ها و تلفن‌های قدیمی را هدف قرار می‌دهد؛ و یا شاید منظور از آن، برقراری ارتباط با برخی از دستگاه‌های خاص در محیط قربانیان است.

اطلاعاتی که در دستگاه‌های مورد نظر بازیابی می‌شود شامل نام سازنده، شماره مدل، شماره IMEI و نسخه نرم افزار و شماره MSISDN و IMSI است. ESET خاطر نشان می‌کند که این افزونه تنها از تعداد کمی از دستورات AT استفاده می‌کند.

خروج از نسخه موبایل