Os investigadores da ESET descobriram vários ataques de espionagem, de alto nível, destinados a entidades governamentais e diplomáticas na Europa Oriental. Os ataques partiram de uma plataforma de espionagem não conhecida.
A plataforma destaca-se pela sua arquitetura modular, associada a dois recursos importantes: o protocolo AT usado por um dos seus plugins para o fingerprinting de dispositivos GSM e o Tor, a popular rede de comunicações seguras. Os investigadores da ESET deram o nome à plataforma de “Attor“.
A Attor é uma plataforma de espionagem utilizada para ataques altamente dirigidos contra utilizadores de elevado perfil. Esta plataforma é composta por um distribuidor e plugins carregáveis, os quais se implementam como bibliotecas de links dinâmicos (DLL).
Os plugins da Attor são enviados para o computador comprometido como ficheiros DLL encriptados assimetricamente com RSA. Estes plugins são recuperados de forma completa na memória, utilizando a chave pública RSA embebida no sistema de envio.
Como resultado, é difícil obter os plugins da Attor e desencriptá-los sem acesso ao sistema de envio. A Attor tem incorporados mecanismos para acrescentar novos plugins, para se atualizar e para exfiltrar automaticamente os dados compilados e os ficheiros de registo.
Arquitetura da Plataforma Attor
Os plugins de espionagem da Attor recolhem dados confidenciais (como uma lista de documentos existentes no disco) que finalmente são exfiltrados para um servidor remoto, mas estes plugins não se comunicam por si mesmos através da rede.
O plugin mais curioso do arsenal desta plataforma compila a informação relacionada com os dispositivos de modem/telefone ligados e a unidades de armazenamento ligadas, e sobre os ficheiros presentes nestas unidades, é responsável pela compilação de meta dados, não dos ficheiros em si, pelo que consideramos um plugin utilizado para realizar o fingerprinting de dispositivos e, como tal, é provável que se utilize como base para o roubo de dados adicionais.
Esta plataforma tem como alvos processos específicos – entre os quais, processos associados às redes sociais na Rússia e alguns utilitários de encriptação/ assinatura digital, o serviço de VPN HMA, serviços de e-mail Hushmail e The Bat! com encriptação ponto-a-ponto, e o utilitário de encriptação de disco TrueCrypt.
O Pplware agradece à ESET pelo alerta para este conteúdo.