Cerca nel blog

lunedì 28 ottobre 2019

ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM

I ricercatori di ESET hanno scoperto una nuova piattaforma di spionaggio con un'architettura complessa, una serie di misure per rendere più difficili il rilevamento e l'analisi, e due innovative caratteristiche. Innanzitutto, un plug-in GSM che utilizza il protocollo di comando AT e, in secondo luogo, sfrutta Tor per le comunicazioni di rete. Gli esperti hanno così chiamato questa piattaforma di cyberspionaggio Attor.

Obiettivi

L'operazione di spionaggio di Attor è altamente mirata: siamo riusciti a rintracciare le attività di Attor almeno dal 2013, ma abbiamo identificato solo poche decine di vittime. Ciò nonostante, siamo stati in grado di saperne di più sugli utenti coinvolti analizzando gli artefatti nel malware.

Ad esempio, per riferire le attività del soggetto colpito, Attor monitora i processi attivi acquisendo le schermate delle applicazioni selezionate. Vengono prese di mira solo alcune applicazioni: quelle con sottostringhe specifiche nel nome del processo o nel titolo della finestra.

Oltre ai servizi standard come i browser Web più diffusi, le applicazioni di messaggistica istantanea e i servizi di posta elettronica, l'elenco delle applicazioni mirate contiene numerosi servizi russi.

La conclusione degli esperti di ESET è che Attor si rivolge in modo specifico ai madrelingua russi, ipotesi confermata dal fatto che la maggior parte degli obiettivi si trova in Russia. Altri obiettivi si trovano nell'Europa orientale e includono missioni diplomatiche e istituzioni governative.

Oltre al targeting geografico e linguistico, i creatori di Attor sembrano essere interessati agli utenti preoccupati per la loro privacy.

Attor è configurato per acquisire schermate di applicazioni di crittografia / firma digitale, il servizio VPN HMA, i servizi di posta elettronica con crittografia end-to-end Hushmail e The Bat! e l'utility di crittografia del disco TrueCrypt.

L'uso di TrueCrypt da parte della vittima viene ulteriormente verificato da un'altra routine di Attor che monitora i dischi rigidi collegati al computer infetto e cerca la presenza di TrueCrypt. Se viene rilevato, ne determina la versione inviando un IOCTL al driver TrueCrypt (0x222004 (TC_IOCTL_GET_DRIVER_VERSION) e 0x72018 (TC_IOCTL_LEGACY_GET_DRIVER_VERSION)). Poiché si tratta di codici di controllo specifici di TrueCrypt, non di codici standard, gli autori del malware devono effettivamente comprendere il codice open source del programma di installazione di TrueCrypt. I ricercatori di ESET non hanno mai visto prima questa tecnica utilizzata né è mai stata documentata in altri malware.

Architettura della piattaforma

Attor è costituito da un dispatcher e plug-in caricabili, tutti implementati come librerie a collegamento dinamico (DLL). La prima fase di infezione consiste nel rilasciare tutti questi componenti sul disco e caricare la DLL del dispatcher.

Il dispatcher è il cuore dell'intera piattaforma e funge da unità di gestione e sincronizzazione per i plug-in aggiuntivi. Ad ogni avvio del sistema si inserisce in quasi tutti i processi in esecuzione e carica tutti i plugin disponibili all'interno di ciascuno di questi processi. In via eccezionale, Attor evita l'iniezione in alcuni sistemi e processi relativi ai prodotti di sicurezza.

Tutti i plug-in si affidano al dispatcher per l'implementazione delle funzionalità di base. Anziché chiamare direttamente le funzioni API di Windows, i plug-in usano un riferimento a una funzione di supporto (un dispatcher di funzioni) implementata dalla DLL dispatcher. Il dispatcher di funzioni viene passato ai plugin quando vengono caricati. Poiché i plug-in vengono iniettati nello stesso processo del dispatcher, condividono lo stesso spazio di indirizzi e sono quindi in grado di chiamare direttamente questa funzione.

Le chiamate al dispatcher delle funzioni prendono come argomenti il ​​tipo di funzione e il suo identificatore numerico. Questo sistema rende più difficile analizzare i singoli componenti di Attor senza avere accesso al dispatcher, poiché traduce l'identificatore specificato in una funzione significativa che viene quindi eseguita.

Impronte digitali GSM

Il plug-in più interessante nell'arsenale di Attor raccoglie informazioni sia sui dispositivi modem / telefonici collegati alle unità di archiviazione connesse e sia sui file presenti su queste unità. È responsabile della raccolta di metadati, non dei file stessi, quindi lo consideriamo un plug-in utilizzato per il fingerprinting del dispositivo e probabilmente utilizzato come base per ulteriori furti di dati. Mentre la funzionalità Attor delle unità di archiviazione delle impronte digitali è piuttosto standard, l'impronta digitale dei dispositivi GSM è unica. Ogni volta che un modem o un dispositivo telefonico è collegato a una porta COM, il componente Monitor dispositivo utilizza i comandi AT per comunicare con il dispositivo tramite la porta seriale associata.I comandi AT, noti anche come set di comandi Hayes, furono originariamente sviluppati negli anni '80 con lo scopo di istruire un modem per comporre, riagganciare o modificare le impostazioni di connessione. Il set di comandi è stato successivamente esteso per supportare funzionalità aggiuntive, sia standardizzate che specifiche del fornitore.

 

Per maggiori informazioni sull'argomento collegarsi al seguente link: ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM - ESET Italia security blog






Elisabetta Giuliano
Communication Consultant
Mobile: + 39 3289092482

Nessun commento:

Posta un commento

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota