Home > Informatica > ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM

ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM

scritto da: Elygiuliano | segnala un abuso

ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM


I ricercatori di ESET hanno scoperto una nuova piattaforma di spionaggio con un’architettura complessa, una serie di misure per rendere più difficili il rilevamento e l’analisi, e due innovative caratteristiche. Innanzitutto, un plug-in GSM che utilizza il protocollo di comando AT e, in secondo luogo, sfrutta Tor per le comunicazioni di rete. Gli esperti hanno così chiamato questa piattaforma di cyberspionaggio Attor.

Obiettivi

L’operazione di spionaggio di Attor è altamente mirata: siamo riusciti a rintracciare le attività di Attor almeno dal 2013, ma abbiamo identificato solo poche decine di vittime. Ciò nonostante, siamo stati in grado di saperne di più sugli utenti coinvolti analizzando gli artefatti nel malware.

Ad esempio, per riferire le attività del soggetto colpito, Attor monitora i processi attivi acquisendo le schermate delle applicazioni selezionate. Vengono prese di mira solo alcune applicazioni: quelle con sottostringhe specifiche nel nome del processo o nel titolo della finestra.

Oltre ai servizi standard come i browser Web più diffusi, le applicazioni di messaggistica istantanea e i servizi di posta elettronica, l’elenco delle applicazioni mirate contiene numerosi servizi russi.

La conclusione degli esperti di ESET è che Attor si rivolge in modo specifico ai madrelingua russi, ipotesi confermata dal fatto che la maggior parte degli obiettivi si trova in Russia. Altri obiettivi si trovano nell’Europa orientale e includono missioni diplomatiche e istituzioni governative.

Oltre al targeting geografico e linguistico, i creatori di Attor sembrano essere interessati agli utenti preoccupati per la loro privacy.

Attor è configurato per acquisire schermate di applicazioni di crittografia / firma digitale, il servizio VPN HMA, i servizi di posta elettronica con crittografia end-to-end Hushmail e The Bat! e l’utility di crittografia del disco TrueCrypt.

L’uso di TrueCrypt da parte della vittima viene ulteriormente verificato da un’altra routine di Attor che monitora i dischi rigidi collegati al computer infetto e cerca la presenza di TrueCrypt. Se viene rilevato, ne determina la versione inviando un IOCTL al driver TrueCrypt (0x222004 (TC_IOCTL_GET_DRIVER_VERSION) e 0x72018 (TC_IOCTL_LEGACY_GET_DRIVER_VERSION)). Poiché si tratta di codici di controllo specifici di TrueCrypt, non di codici standard, gli autori del malware devono effettivamente comprendere il codice open source del programma di installazione di TrueCrypt. I ricercatori di ESET non hanno mai visto prima questa tecnica utilizzata né è mai stata documentata in altri malware.

Architettura della piattaforma

Attor è costituito da un dispatcher e plug-in caricabili, tutti implementati come librerie a collegamento dinamico (DLL). La prima fase di infezione consiste nel rilasciare tutti questi componenti sul disco e caricare la DLL del dispatcher.

Il dispatcher è il cuore dell’intera piattaforma e funge da unità di gestione e sincronizzazione per i plug-in aggiuntivi. Ad ogni avvio del sistema si inserisce in quasi tutti i processi in esecuzione e carica tutti i plugin disponibili all’interno di ciascuno di questi processi. In via eccezionale, Attor evita l’iniezione in alcuni sistemi e processi relativi ai prodotti di sicurezza.

Tutti i plug-in si affidano al dispatcher per l’implementazione delle funzionalità di base. Anziché chiamare direttamente le funzioni API di Windows, i plug-in usano un riferimento a una funzione di supporto (un dispatcher di funzioni) implementata dalla DLL dispatcher. Il dispatcher di funzioni viene passato ai plugin quando vengono caricati. Poiché i plug-in vengono iniettati nello stesso processo del dispatcher, condividono lo stesso spazio di indirizzi e sono quindi in grado di chiamare direttamente questa funzione.

Le chiamate al dispatcher delle funzioni prendono come argomenti il ​​tipo di funzione e il suo identificatore numerico. Questo sistema rende più difficile analizzare i singoli componenti di Attor senza avere accesso al dispatcher, poiché traduce l’identificatore specificato in una funzione significativa che viene quindi eseguita.

Impronte digitali GSM

Il plug-in più interessante nell’arsenale di Attor raccoglie informazioni sia sui dispositivi modem / telefonici collegati alle unità di archiviazione connesse e sia sui file presenti su queste unità. È responsabile della raccolta di metadati, non dei file stessi, quindi lo consideriamo un plug-in utilizzato per il fingerprinting del dispositivo e probabilmente utilizzato come base per ulteriori furti di dati. Mentre la funzionalità Attor delle unità di archiviazione delle impronte digitali è piuttosto standard, l’impronta digitale dei dispositivi GSM è unica. Ogni volta che un modem o un dispositivo telefonico è collegato a una porta COM, il componente Monitor dispositivo utilizza i comandi AT per comunicare con il dispositivo tramite la porta seriale associata.I comandi AT, noti anche come set di comandi Hayes, furono originariamente sviluppati negli anni ’80 con lo scopo di istruire un modem per comporre, riagganciare o modificare le impostazioni di connessione. Il set di comandi è stato successivamente esteso per supportare funzionalità aggiuntive, sia standardizzate che specifiche del fornitore.


Fonte notizia: https://blog.eset.it/2019/10/eset-scopre-attor-una-piattaforma-spia-con-curiose-impronte-digitali-gsm/


ESET | Attor |



Commenta l'articolo

 

Potrebbe anche interessarti

4 Consigli per scegliere un allarme Casa Intelligente


Telecamera Hybrid LKM Security: L'allarme perfetto per la Casa Intelligente


ESET premiata da AV-Comparatives per le soluzioni di sicurezza business e consumer


ESET presenta ESET Full Disk Encryption, la soluzione di crittografia che protegge i dati sia nel mondo reale che in quello digitale


ESET presenta la nuova linea di soluzioni di sicurezza per gli utenti privati


ESET inaugura la nuova linea di soluzioni per la sicurezza aziendale


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Avast rafforza la difesa contro gli attacchi ransomware nella sua linea di prodotti

Avast rafforza la difesa contro gli attacchi ransomware nella sua linea di prodotti
Durante il lockdown, Avast ha registrato un aumento del 20% degli attacchi ransomware sferrati sfruttando il protocollo RDP Avast, leader globale nella sicurezza e nella privacy digitale, ha rilasciato una nuova versione dei suoi prodotti di sicurezza per rispondere alla recente impennata globale di ransomware avvenuta durante la pandemia da coronavirus. Nello specifico Avast ha introdotto il nuovissimo Remote Access Shield per Avast Premium Security e ha aggiunto Ransomware Shield, precedentemente disponibile so (continua)

App di incontri: gli esperti di Avast spiegano come proteggere la propria privacy

App di incontri: gli esperti di Avast spiegano come proteggere la propria privacy
Recentemente sono trapelate le informazioni relative a cinque diversi siti di incontri che hanno esposto milioni di dati privati dei loro utenti, residenti principalmente negli Stati Uniti, Corea e Giappone a maggio molte altre app di appuntamenti di nicchia come CougarD e 3Somes hanno subito violazioni dei dati che hanno esposto centinaia di migliaia di informazioni degli utenti, tra cui foto e registrazioni audio. Quest’ultimo evento si è verificato grazie a un bucket di archiviazione Amazon S3 non configurato correttamente. Per fortuna, dopo le segnalazioni di diversi esperti di sicurezza il (continua)

Come tenersi aggiornati sulle mutevoli esigenze delle famiglie per continuare a fornire servizi utili e di valore

Come tenersi aggiornati sulle mutevoli esigenze delle famiglie per continuare a fornire servizi utili e di valore
Nel corso degli anni, i produttori hanno affrontato e superato molte sfide man mano che la tecnologia si evolveva, basti pensare al numero crescente di piattaforme per i nuovi smartphone, computer e gadget IoT. A complicare le cose, i fornitori di rete hanno vissuto il passaggio dalla banda larga al 5G, aggiungendo ulteriore complessità al cambiamento tecnologico. Per rimanere competitive, le aziende devono essere in grado di adattarsi e adeguarsi alle nuove tendenze del settore per continuare il ciclo di innovazione. Comprendere le esigenze del cliente è la chiave di questa trasformazione sia per i produttori che per i fornitori, al fine di rimanere all'avanguardia nel progresso tecnologico.E’ così anche per le mutevoli esigenze dei genitori, basate sul ca (continua)

Avast registra l’aumento del 51% nell'utilizzo di spyware e stalkerware durante il lockdown

Avast registra l’aumento del 51% nell'utilizzo di spyware e stalkerware durante il lockdown
Nel periodo marzo-giugno 2020, Avast ha protetto da questo tipo di malware oltre 43.000 utenti in tutto il mondo. I tre consigli da seguire per mitigare la minaccia dello stalkerware I ricercatori di Avast, leader mondiale della sicurezza informatica, hanno riscontrato un aumento del 51% nell'uso di spyware e stalkerware da marzo a giugno 2020 rispetto al periodo gennaio/febbraio dello stesso anno. Lo stalkerware è un tipo di software non etico che consente alle persone di tracciare la posizione di qualcuno, accedere a foto e video personali, intercettare e-mail, messaggi e co (continua)

Il trojan bancario Cerberus spunta sul Play Store

Il trojan bancario Cerberus spunta sul Play Store
Camuffato da app di conversione valuta, è stato scaricato più di 10.000 volte I ricercatori del team Mobile Threat Labs di Avast, leader mondiale della sicurezza informatica, hanno scoperto il trojan bancario Cerberus su Google Play, camuffato all’interno dell’applicazione legittima "Calculadora de Moneda", scaricata più di 10.000 volte dagli utenti Android in Spagna.Secondo i ricercatori di Avast, l’applicazione ha nascosto le sue intenzioni maligne per le prime settimane (continua)