• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky
Home Zprávičky

Speciální spyware sbírá metadata o připojených GSM zařízeních

Pavel Houser
23. 10. 2019
| Zprávičky

Attor cílí na východoevropské vlády, diplomaty a uživatele. Šíří se prostřednictvím ruských sociálních sítí.

Analytici společnosti Eset odkryli několik sofistikovaných špionážních útoků, které byly namířené proti vládním a diplomatickým entitám ve východní Evropě. Způsob vedení útoků má být unikátní, využívá do té doby neznámou e-špionážní platformu. Tato platforma je zajímavá nejen díky své modulární architektuře, ale také díky dvěma zásadním funkcím: využití AT protokolu pro vytváření otisku mobilního zařízení, a Tor protokolu, který maskuje síťovou komunikaci. Název Attor vznikl spojením těchto funkcí.

„Útočníci, kteří stojí za Attorem, míří na diplomatické mise a vládní instituce. Tyto útoky probíhají přinejmenším od roku 2013. Cílovými obětmi jsou uživatelé ruských sociálních a platebních služeb a především pak ti, kteří se zajímají o ochranu svého soukromí,“ uvádí Zuzana Hromcová, analytička Esetu, která hrozbu zkoumala.

Attor má modulární architekturu. Skládá se z dispečera a dynamicky nahrávaných pluginů, které se při volání základních Windows API funkcí spoléhají na zmíněného dispečera, tzn. že je nevolají přímo a zametají tak svoji stopu před bezpečnostním softwarem. Tyto pluginy se doručují do kompromitovaného počítače v podobě zašifrovaných DLL souborů. K jejich odšifrování dochází pouze v operační paměti. Bez přístupu k dispečerskému modulu je tak nemožné získat ostatní pluginy a rozšifrovat je.

Attor napadá pouze specifické procesy – mimo jiné jde o aplikace spojené s ruskými sociálními sítěmi, některými šifrovacími nástroji nebo digitálními podpisy, VPN službou MHA, šifrováním e-mailových služeb Hushmail a The Bat! nebo také nástrojem na šifrování disku TrueCrypt.

„Způsob, jakým Attor určí verzi TrueCrypt, je také unikátní. Využívá specifické IO kontrolní kódy, které komunikují přímo TrueCrypt driverem. To dokazuje, že autor malware musí rozumět open-source kódu aplikace TrueCrypt. Nevíme o tom, že by podobná technika byla dosud zdokumentována,“ říká Hromcová.

Mezi funkcionalitami, které pluginy Attoru implementují, vyčnívají svou neobvyklostí dvě: síťová komunikace a vytváření otisků mobilního zařízení. Pro zachování anonymity a utajení své komunikace s C&C serverem používá malware protokol Tor: Onion Service Protocol.

Infrastruktura Attoru pro C&C komunikaci zahrnuje čtyři komponenty: dispečera, který poskytuje šifrovací funkce a tři pluginy, které implementují FTP protokol, funkcionalitu Tor a samotnou síťovou komunikaci. Kvůli tomuto mechanismu je nemožné analyzovat komunikaci Attoru bez všech kousků skládačky.

Nejzajímavější plugin z arzenálu Attoru sbírá informace o připojeném modemu či telefonu s modemem, připojených discích a rovněž informace o souborech, které se na nich nacházejí. Nezajímají ho soubory samotné, ale pouze metadata zařízení. Jeho primárním cílem je tedy vytváření otisků GSM zařízení připojených přes sériový port. Attor k vytváření otisků využívá takzvané AT příkazy. Jde o povely, které slouží ke komunikaci se zařízením. V tomto případě se jedná o informace v podobě identifikátorů typu IMSI, IMEI, MSISDN a dalších. AT příkazy byly původně vyvinuty v 80. letech ke kontrole modemu a dodnes se používají i v moderních smartphonech.

Může existovat řada důvodů, proč Attor využívá právě AT příkazy. Nejpravděpodobnější z nich je budoucí cílení na modemy a starší telefony, které jsou využívány v infrastrukturách institucí, na něž Attor primárně míří. „Otisk zařízení může sloužit jako základ pro další krádeže dat. Pokud útočníci zjistí typ připojeného zařízení, mohou vytvořit a nasadit optimalizovaný plugin, který by byl schopen pomocí AT příkazů ukrást z tohoto zařízení data a provést v něm změny, včetně změn firmwaru,“ uzavírá Z. Hromcová.

Rubriky: České ITSecurity

Související příspěvky

Ransomwarový útok stojí české oběti 8,25 milionu korun
Zprávičky

Europol a Eurojust odhalily šiřitele ransomwaru, vůdce zatkli na Ukrajině

28. 11. 2023
Zprávičky

Kvalita DDoS útoků je stále lepší, hrubá síla již není na pořadu dne

28. 11. 2023
Konference Fortinet Security Day se zaměřila na budoucnost kybernetické bezpečnosti
Články

Konference Fortinet Security Day se zaměřila na budoucnost kybernetické bezpečnosti

28. 11. 2023
Zprávičky

Česká FTMO první mezi technologickými firmami střední a východní Evropy

27. 11. 2023

Zprávičky

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Atos oznámil, že jedná s Křetínským o změně podmínek prodeje své divize

ČTK
28. 11. 2023

Francouzská technologická společnost Atos jedná s firmou EP Equity Investment českého podnikatele Daniela Křetínského

Ransomwarový útok stojí české oběti 8,25 milionu korun

Europol a Eurojust odhalily šiřitele ransomwaru, vůdce zatkli na Ukrajině

ČTK
28. 11. 2023

Policejní i justiční orgány z několika zemí odhalily zločineckou síť zodpovědnou za útoky s

Kvalita DDoS útoků je stále lepší, hrubá síla již není na pořadu dne

Pavel Houser
28. 11. 2023

Čísla počtu a celkové intenzity DDoS útoků na české firmy v říjnu stagnovala. Přesto

Meta čelí v Evropě stížnosti kvůli placeným verzím sítí Facebook a Instagram

ČTK
28. 11. 2023

Nezisková organizace NOYB předložila rakouskému úřadu na ochranu osobních údajů stížnost na rozhodnutí americké

Česká FTMO první mezi technologickými firmami střední a východní Evropy

ČTK
27. 11. 2023

Česká firma FTMO potřetí za sebou obsadila první místo v žebříčku nejrychleji rostoucích technologických

Google představil první chytré hodinky značky Pixel

Hrozby pro Android: V říjnu byl škodlivý kód nejčastěji ve falešných hrách

Pavel Houser
27. 11. 2023

Rizikem pro platformu Android v Česku byl i v říjnu Adware Andreed, a to spolu

Nová kybernetická bezpečnostní směrnice se dotkne asi 7 000 firem a úřadů

ČTK
27. 11. 2023

Nová evropská směrnice o kybernetické bezpečnosti NIS2, která začne platit v příštím roce, se

Předseda ÚOHS definitivně zrušil tendr MMR na digitalizaci stavebního řízení

ČTK
27. 11. 2023

Předseda Úřadu pro ochranu hospodářské soutěže (ÚOHS) Petr Mlsna definitivně zrušil tendr na digitalizaci

Tiskové zprávy

Město Ostrov implementuje spisovou službu GINIS od Gordicu

Lenovo ThinkPad X1 Fold 16 bude od prosince dostupný v České republice

Partnerem roku Dell Technologies je společnost DATA FORCE

Úřad na ochranu soukromí: Rodná čísla by v občanských průkazech být neměla

Nový Portál občana zjednodušuje přístup ke službám státu

Huawei představila stipendijní program s Mezinárodní telekomunikační unií

Zpráva dne

Dvojitý výprodej a slevy od Goodoffer24: Windows 10/11 za € 12, Office za € 23!

Dvojitý výprodej a slevy od Goodoffer24: Windows 10/11 za € 12, Office za € 23!

Redakce
2. 11. 2023

Jsme u super výprodeje 11.11. Nákup hardwaru znamená velké výdaje, proto co největší úspora...

Kalendář

Pro 5
9:00

Jak se připravit na NIS2

Zobrazit kalendář

Komentujeme

Chvála černých skřínek

Web v éře, kdy obsah vytváří umělá inteligence

Pavel Houser
1. 9. 2023

Hned několik analýz a komentářů ve významných médiích spekulovalo v poslední době o tom, zda současná...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Slovník

Autorestart

Xchat

Běžný výnos

Nejpopulárnější články

Salesforce standardizuje globální infrastrukturu hybridního cloudu na Red Hat Enterprise Linuxu

itbiz
25. 9. 2023

Speciální spyware sbírá metadata o připojených GSM zařízeních

Pavel Houser
23. 10. 2019

Zákazník nechce čekat, až si na něj operátor udělá čas

itbiz
27. 10. 2023

První konference low-code a no-code

První konference low-code a no-code

Richard Jan Voigts
4. 11. 2023

Kvantové tyčky namísto teček mohou vylepšit displeje

Kvantové tyčky namísto teček mohou vylepšit displeje

Pavel Houser
16. 11. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Pozoruhodné a vzácné astronomické úkazy v roce 2024
  • Hrůzy neolitu – nejspíš to bylo složitější
  • Poprvé zachytili hopfiony

RSS AbcLinuxu RSS

  • Red Hat Enterprise Linux 10 už bez X serverů, pouze Xwayland
  • Mobilní Datovka 2.0.0. QaA: Projekt Datovka očima vývojářů
  • scrcpy 2.3

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.