Киберпреступники семь лет следили за тысячами россиян

Пользователи российских сервисов уже много лет находятся на прицеле у шпионской платформы Attor. Специалисты международной антивирусной компании ESET обнаружили ее только сейчас. При анализе выяснилось, что платформа применяется для таргетированных атак минимум с 2013 года, причем ведутся они исключительно в отношении пользователей России и Восточной Европы: Украины, Словакии, Литвы и Турции.
Киберпреступники семь лет следили за тысячами россиян
small-logo4.svg
Редакция ПМ
14 октября 2019 15:35

Работа Attor заключается в анализе активных процессов пользователя: изучаются популярные браузеры и мессенджеры, почтовые приложения, сервисы IP-телефонии, а также социальные сети «Одноклассники» и «ВКонтакте». Платформа не ограничивается только снимками с экрана, которые отправляются злоумышленникам, но также ведет запись аудио, копирует набираемые тексты и данные из буфера обмена. Кроме того, ведется учет подключенных устройств: модемов, телефонов и накопителей.

Особый интерес платформа проявляет к тем пользователям, которые озабочены конфиденциальностью своих данных. Маркерами для нее служат активация VPN-сервисов, утилиты для шифрования и некоторые другие схожие приложения.

Платформа Attor имеет сложную структуру и состоит из диспетчера и плагинов. Они загружаются на устройства, как зашифрованные файлы DLL, а для связи с сервером используют систему Tor.

В протоколах платформы используются AT-команды, которые позволяют без ведома владельца, например, отправлять SMS-сообщения или эмулировать события на экране. Эти команды используются также для получения идентификаторов, номеров телефонов и версий используемих ОС. Специалисты ESET уверены, что именно эта информация интересует кибершпионов больше всего, то есть, цифровой отпечаток устройства.

«Создание цифрового отпечатка устройств может стать основой для дальнейшей кражи данных. Если киберпреступники узнают тип подсоединенного устройства, они смогут собрать персональный плагин, способный при помощи AT-команд украсть с него данные или внести изменения», — предупреждает вирусный аналитик компании ESET Зузана Хромцова.

Ещё больше по темам

Обсудить 0

Лучшее за неделю

©  Популярная Механика