به گزارش ESET، یک پلتفرم جاسوسی سایبری که اخیراً کشف شده، از Tor برای ارتباطات شبکه استفاده میکند.
این پلتفرم با عنوان Attor، به دلیل استفاده از افزونه GSM که از پروتکل فرمان AT و از شبکه Tor استفاده میکند، تنها در طی چند عملیات جاسوسی، دهها قربانی را مورد هدف قرار داده است.
Attor به طور خاص به سرورهای روسی اختصاص داده شده، و لیست برنامههای هدفمند آن شامل مرورگرهای وب، برنامههای پیام رسانی فوری، سرویسهای ایمیل، شبکههای اجتماعی محبوب در روسیه (Odnoklassniki ،VKontakte)، سیستم پرداخت WebMoney و سرویس VoIP ارائه شده توسط مخابرات روسیه و نیز اپراتور Multifon است.
پلتفرم جاسوسی سایبری Attor برای جاسوسی از کاربران بر روندهای فعال نظارت میکند و تصاویر برنامههای انتخاب شده را ثبت میکند. در حالی که بیشتر قربانیان آن در روسیه واقع شدهاند، از این پلتفرم برای هدف قرار دادن افراد ساکن در اروپای شرقی در فعالیتهایی مانند مأموریتهای دیپلماتیک و نهادهای دولتی نیز استفاده میشود.
محققان میگویند، براساس روشی که در آن فعالیتهای کاربر TrueCrypt در Attor بررسی میشود، این بدافزار احتمالاً کد منبع باز نصب کننده TrueCrypt را درک نمیکند.
این بستر شامل یک توزیع کننده و افزونههای قابل بارگذاری است که همه آنها به صورت DLL اجرا میشوند و در اولین مرحله از حمله، بر روی سیستم مورد نظر ریخته میشوند.
این افزونهها که بطور نامتقارن با RSA رمزگذاری شده است، تنها با استفاده از یک کلید عمومی RSA که در دستگاه توزیع کننده تعبیه شده است، میتوانند به طور کامل در حافظه بازیابی شوند.
مکانیسم داخلی Attor همچنین به آن اجازه میدهد تا افزونههای جدیدی را اضافه کرده، خود را بهروزرسانی کند و به صورت خودکار دادههای جمع آوری شده و پروندههای ثبت شده را مجدداً جدا کند.
تنها دو افزونه با C&C ارتباط برقرار میکنند، یعنی آپلودکننده پرونده و توزیع کننده فرمان. اولی اطلاعاتی را که توسط سایر افزونهها جمع آوری شده است مجزا میکند، و دومی دستورات و ابزارهای اضافی را از سرور C&C بارگیری میکند.
به طور کلی، زیرساختهای Attor برای ارتباطات C&C از چهار مؤلفه تشکیل شده است، یعنی یک ارسال کننده توابع رمزگذاری شده و سه پلاگین که پروتکل FTP، عملکرد Tor و ارتباط واقعی شبکه را پیاده سازی میکند.
علاوه بر استفاده از سرور C&C در شبکه Tor، این پلتفرم فقط با فعال کردن افزونههای مرتبط در صورت اجرا در مرورگر، یک برنامه پیام رسانی فوری یا سایر نرمافزارهای شبکه، ارتباطات شبکه را مخفی نگه میدارد.
به محض وصل شدن مودم یا تلفن به درگاه COM، افزونه مانیتور دستگاه برای برقراری ارتباط با دستگاه، از دستورات AT استفاده میکند.
با توجه به اینکه فقط دستگاههای متصل از طریق درگاه COM هدف قرار گرفتهاند، محققان حدس میزنند که Attor تنها مودمها و تلفنهای قدیمی را هدف قرار میدهد؛ و یا شاید منظور از آن، برقراری ارتباط با برخی از دستگاههای خاص در محیط قربانیان است.
اطلاعاتی که در دستگاههای مورد نظر بازیابی میشود شامل نام سازنده، شماره مدل، شماره IMEI و نسخه نرم افزار و شماره MSISDN و IMSI است. ESET خاطر نشان میکند که این افزونه تنها از تعداد کمی از دستورات AT استفاده میکند.