Home > Informatica > ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM

ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM

scritto da: Elygiuliano | segnala un abuso

ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM


I ricercatori di ESET hanno scoperto una nuova piattaforma di spionaggio con un’architettura complessa, una serie di misure per rendere più difficili il rilevamento e l’analisi, e due innovative caratteristiche. Innanzitutto, un plug-in GSM che utilizza il protocollo di comando AT e, in secondo luogo, sfrutta Tor per le comunicazioni di rete. Gli esperti hanno così chiamato questa piattaforma di cyberspionaggio Attor.

Obiettivi

L’operazione di spionaggio di Attor è altamente mirata: siamo riusciti a rintracciare le attività di Attor almeno dal 2013, ma abbiamo identificato solo poche decine di vittime. Ciò nonostante, siamo stati in grado di saperne di più sugli utenti coinvolti analizzando gli artefatti nel malware.

Ad esempio, per riferire le attività del soggetto colpito, Attor monitora i processi attivi acquisendo le schermate delle applicazioni selezionate. Vengono prese di mira solo alcune applicazioni: quelle con sottostringhe specifiche nel nome del processo o nel titolo della finestra.

Oltre ai servizi standard come i browser Web più diffusi, le applicazioni di messaggistica istantanea e i servizi di posta elettronica, l’elenco delle applicazioni mirate contiene numerosi servizi russi.

La conclusione degli esperti di ESET è che Attor si rivolge in modo specifico ai madrelingua russi, ipotesi confermata dal fatto che la maggior parte degli obiettivi si trova in Russia. Altri obiettivi si trovano nell’Europa orientale e includono missioni diplomatiche e istituzioni governative.

Oltre al targeting geografico e linguistico, i creatori di Attor sembrano essere interessati agli utenti preoccupati per la loro privacy.

Attor è configurato per acquisire schermate di applicazioni di crittografia / firma digitale, il servizio VPN HMA, i servizi di posta elettronica con crittografia end-to-end Hushmail e The Bat! e l’utility di crittografia del disco TrueCrypt.

L’uso di TrueCrypt da parte della vittima viene ulteriormente verificato da un’altra routine di Attor che monitora i dischi rigidi collegati al computer infetto e cerca la presenza di TrueCrypt. Se viene rilevato, ne determina la versione inviando un IOCTL al driver TrueCrypt (0x222004 (TC_IOCTL_GET_DRIVER_VERSION) e 0x72018 (TC_IOCTL_LEGACY_GET_DRIVER_VERSION)). Poiché si tratta di codici di controllo specifici di TrueCrypt, non di codici standard, gli autori del malware devono effettivamente comprendere il codice open source del programma di installazione di TrueCrypt. I ricercatori di ESET non hanno mai visto prima questa tecnica utilizzata né è mai stata documentata in altri malware.

Architettura della piattaforma

Attor è costituito da un dispatcher e plug-in caricabili, tutti implementati come librerie a collegamento dinamico (DLL). La prima fase di infezione consiste nel rilasciare tutti questi componenti sul disco e caricare la DLL del dispatcher.

Il dispatcher è il cuore dell’intera piattaforma e funge da unità di gestione e sincronizzazione per i plug-in aggiuntivi. Ad ogni avvio del sistema si inserisce in quasi tutti i processi in esecuzione e carica tutti i plugin disponibili all’interno di ciascuno di questi processi. In via eccezionale, Attor evita l’iniezione in alcuni sistemi e processi relativi ai prodotti di sicurezza.

Tutti i plug-in si affidano al dispatcher per l’implementazione delle funzionalità di base. Anziché chiamare direttamente le funzioni API di Windows, i plug-in usano un riferimento a una funzione di supporto (un dispatcher di funzioni) implementata dalla DLL dispatcher. Il dispatcher di funzioni viene passato ai plugin quando vengono caricati. Poiché i plug-in vengono iniettati nello stesso processo del dispatcher, condividono lo stesso spazio di indirizzi e sono quindi in grado di chiamare direttamente questa funzione.

Le chiamate al dispatcher delle funzioni prendono come argomenti il ​​tipo di funzione e il suo identificatore numerico. Questo sistema rende più difficile analizzare i singoli componenti di Attor senza avere accesso al dispatcher, poiché traduce l’identificatore specificato in una funzione significativa che viene quindi eseguita.

Impronte digitali GSM

Il plug-in più interessante nell’arsenale di Attor raccoglie informazioni sia sui dispositivi modem / telefonici collegati alle unità di archiviazione connesse e sia sui file presenti su queste unità. È responsabile della raccolta di metadati, non dei file stessi, quindi lo consideriamo un plug-in utilizzato per il fingerprinting del dispositivo e probabilmente utilizzato come base per ulteriori furti di dati. Mentre la funzionalità Attor delle unità di archiviazione delle impronte digitali è piuttosto standard, l’impronta digitale dei dispositivi GSM è unica. Ogni volta che un modem o un dispositivo telefonico è collegato a una porta COM, il componente Monitor dispositivo utilizza i comandi AT per comunicare con il dispositivo tramite la porta seriale associata.I comandi AT, noti anche come set di comandi Hayes, furono originariamente sviluppati negli anni ’80 con lo scopo di istruire un modem per comporre, riagganciare o modificare le impostazioni di connessione. Il set di comandi è stato successivamente esteso per supportare funzionalità aggiuntive, sia standardizzate che specifiche del fornitore.


Fonte notizia: https://blog.eset.it/2019/10/eset-scopre-attor-una-piattaforma-spia-con-curiose-impronte-digitali-gsm/


ESET | Attor |



Commenta l'articolo

 

Potrebbe anche interessarti

4 Consigli per scegliere un allarme Casa Intelligente


Telecamera Hybrid LKM Security: L'allarme perfetto per la Casa Intelligente


ESET premiata da AV-Comparatives per le soluzioni di sicurezza business e consumer


ESET presenta ESET Full Disk Encryption, la soluzione di crittografia che protegge i dati sia nel mondo reale che in quello digitale


ESET presenta la nuova linea di soluzioni di sicurezza per gli utenti privati


ESET inaugura la nuova linea di soluzioni per la sicurezza aziendale


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

La cybersecurity di Stormshield entra nel portafoglio di soluzioni di Future Time

La cybersecurity di Stormshield entra nel portafoglio di soluzioni di Future Time
Stormshield, produttore europeo di riferimento per la cybersecurity di infrastrutture critiche, dati sensibili e ambienti OT e Future Time, azienda romana con esperienza ventennale nella distribuzione di soluzioni per la sicurezza informatica, annunciano oggi di aver siglato un accordo per la distribuzione dei prodotti Stormshield sul mercato italiano L’accordo riguarda la commercializzazione da parte di Future Time dell’intero portafoglio delle soluzioni del vendor francese parte del colosso aerospaziale Airbus,ovvero tre famiglie di prodotti frutto di oltre vent’anni di ricerca e sviluppo, che interagiscono tra loro semplificando l’implementazione di strategie di sicurezza multilivello.Con Stormshield Endpoint Security (SES), l’azienda me (continua)

Per Future Time nuovo accordo di partnership con Acronis

Per Future Time nuovo accordo di partnership con Acronis
Future Time, azienda romana attiva dal 2001 nella distribuzione di soluzioni per la sicurezza informatica, sigla una nuova importante partnership con Acronis, leader globale nella cyber protection. L’accordo riguarda la commercializzazione da parte di Future Time dell’intero portafoglio delle soluzioni cloud Acronis, che coniugano protezione dati e sicurezza informatica per offrire una cyber protection integrata e automatizzata in grado di risolvere i problemi di salvaguardia, accessibilità, privacy, autenticità e sicurezza (SAPAS) del mondo digitale di oggi. Grazie a modelli di deploym (continua)

La tecnologia CDR di Odix per l'utilizzo sicuro dei documenti all'interno dell'organizzazione

La tecnologia CDR di Odix per l'utilizzo sicuro dei documenti all'interno dell'organizzazione
La tecnologia CDR, acronimo di Content Disarm and Reconstruction, è finalizzata a rimuovere il contenuto attivo nei file analizzati: script, informazioni dannose e metadati sono eliminati durante il processo La tecnologia CDR, acronimo di Content Disarm and Reconstruction, è finalizzata a rimuovere il contenuto attivo nei file analizzati: script, informazioni dannose e metadati sono eliminati durante il processo. Ogni file è sottoposto a un’analisi del formato, scomposto nelle sue varie parti e quindi ricostruito in modo tale da mantenere inalterato il contenuto per l’utente finale. In sostanza, (continua)

Chi sono i principali attori statali del cyberwarfare? L’analisi degli esperti di Odix

Chi sono i principali attori statali del cyberwarfare? L’analisi degli esperti di Odix
Gli attori della guerra informatica sono tanto diversi quanto maligni: reti di hacker ad hoc, organizzazioni globali altamente qualificate di cyber mercenari e gruppi finanziati dagli Stati che hanno un massiccio sostegno finanziario, obiettivi finali oscuri e nessun desiderio di fare prigionieri Secondo il Council on Foreign Relations “Dal 2005, trentatré paesi sono sospettati di finanziare operazioni informatiche. Cina, Russia, Iran e Corea del Nord hanno sovvenzionato il 77% di tutte le operazioni sospette. Nel 2019, ci sono state un totale di settantasei operazioni, la maggior parte delle quali sono atti di spionaggio.”Gli esperti di Odix, società israeliana proprietaria dell‘innovativ (continua)

La top 5 dei cyber attacchi del 2020.L’analisi degli esperti di Odix

La top 5 dei cyber attacchi del 2020.L’analisi degli esperti di Odix
Dalle catene alberghiere e dai gestori di servizi mobili ai fornitori di software e persino alle aziende cosmetiche, il 2020 ha dimostrato che nessun settore, azienda o individuo è al sicuro dagli attacchi informatici Sebbene questi siano solo alcuni degli innumerevoli eventi informatici di un certo livello perpetrati nel 2020, gli esperti di Odix, società israeliana proprietaria dell‘innovativa tecnologia TrueCDR (Content Disarm and Reconstruction) per la prevenzione dei malware, ritengono che riflettano le tendenze più ampie sul malware e sul rischio informatico dell'anno appena conclusosi. 1.  &nbs (continua)