Diplomaté a vlády východní Evropy pod útokem, stopy vedou do Ruska

Způsob vedení útoků je podle Esetu zcela unikátní. Využívá do té doby neznámou špionážní platformu, která je zajímavá nejen díky své modulární architektuře, ale také díky dvěma funkcím. Jedna využívá protokol pro vytváření otisku mobilního zařízení a druhá protokol, který maskuje síťovou komunikaci. Spojením zkratek těchto dvou funkcí, tedy AT a Tor, vznikl název Attor.

"Útočníci, kteří stojí za Attorem, míří na diplomatické mise a vládní instituce. Tyto útoky probíhají přinejmenším od roku 2013. Cílovými oběťmi jsou uživatelé ruských sociálních a platebních služeb a především pak ti, kteří se zajímají o ochranu svého soukromí," uvedla analytička Esetu Zuzana Hromcová.

Attor napadá podle Esetu specifické procesy - mimo jiné jde o aplikace spojené s ruskými sociálními sítěmi, některými šifrovacími nástroji nebo digitálními podpisy, VPN službou MHA, šifrováním e-mailových služeb Hushmail a The Bat! nebo také nástrojem na šifrování disku TrueCrypt. Attor nejpravděpodobněji cílí na modemy a starší telefony, které jsou využívány v infrastrukturách institucí, na které se útočníci zaměřili.

Attor má modulární architekturu. Skládá se z dispečera a dynamicky nahrávaných částí, které se při volání základních Windows API funkcí spoléhají na zmíněného dispečera, tedy nevolají přímo, a zametají tak svoji stopu před bezpečnostním softwarem. Tyto části se doručují do kompromitovaného počítače v podobě zašifrovaných DLL souborů. K jejich odšifrování dochází pouze v operační paměti.

Získaný otisk zařízení může sloužit jako základ pro další krádeže dat. Pokud útočníci zjistí typ připojeného zařízení, mohou vytvořit a nasadit optimalizovaný program, který by byl schopen pomocí tzv. AT příkazů ukrást z tohoto zařízení data a provést v něm změny, včetně změn firemního softwaru, dodává Eset.