Os investigadores da ESET descobriram vários ataques de espionagem de alto nível destinados a entidades governamentais e diplomáticas na Europa Oriental. A análise mostra que estes ataques foram realizados usando uma plataforma de ciber espionagem não detetada anteriormente. A plataforma é notável pela sua arquitetura modular, associada a dois recursos importantes: o protocolo AT usado por um dos seus plugins para o fingerprinting de dispositivos GSM e o Tor, que é utilizado para as suas comunicações na rede. Devido a esses recursos, os investigadores da ESET deram o nome à plataforma de “Attor”.
Attor: um ataque de espionagem que veio do passado
“Os hackers que usam a Attor estão focados em missões diplomáticas e instituições governamentais. Esses ataques decorrem pelo menos desde 2013. São completamente dirigidos aos utilizadores destes serviços na Rússia, especificamente aqueles que são preocupados com a sua privacidade”, refere Zuzana Hromcová, investigadora de malware da ESET, que conduziu a análise.
Entretanto, o Attor possui uma arquitetura modular. Consiste num distribuidor e plugins carregáveis que dependem desse distribuidor para implementar funcionalidades básicas. Esses plugins chegam ao computador comprometido como DLLs encriptadas.
Eles são totalmente recuperáveis na memória. “Como resultado, sem acesso ao expedidor, é difícil obter os plugins da Attor e desencriptá-los”, explica Hromcová.
A Attor tem como alvos processos específicos – entre os quais, processos associados às redes sociais na Rússia e alguns utilitários de encriptação/ assinatura digital, o serviço de VPN HMA, serviços de e-mail Hushmail e The Bat! com encriptação ponto-a-ponto, e o utilitário de encriptação de disco TrueCrypt.
A utilização do TrueCrypt pela vítima é inspeccionada com mais detalhe noutra parte da Attor. “A forma como a Attor determina a versão do TrueCrypt é única. Assim, o Attor usa códigos de controlo específicos do TrueCrypt para comunicar com a aplicação, o que mostra que os autores do malware devem entender o código open-source do instalador do TrueCrypt. Não temos conhecimento de que esta técnica tenha sido documentada antes”, refere Hromcová.
Entre os recursos da Attor implementados pelos seus plugins, dois destacam-se pelos seus recursos incomuns: comunicação em rede e o fingerprinting de dispositivos GSM. Para garantir o anonimato e a impossibilidade de rastreamento, a Attor utiliza o Tor: Onion Service Protocol, com um endereço básico para o servidor C&C.
A infraestrutura da Attor para comunicações C&C abrange quatro componentes – o expedidor com funções de encriptação e três plugins que implementam o protocolo FTP, a funcionalidade Tor e a comunicação de rede atual.
“Este mecanismo torna impossível analisar a comunicação de rede desta ameaça, a menos que possuam todas as peças do quebra-cabeça”, explica Hromcová.
O plugin mais curioso do arsenal da Attor reúne informações sobre ambos os dispositivos de modem/ telefone e unidades de armazenamento ligados, para além de informações sobre os arquivos presentes nessas unidades. De acordo com os investigadores da ESET, o principal interesse é o fingerprinting dos dispositivos GSM ligados ao computador por uma porta de série. O Attor usa os chamados “comandos AT” para comunicar com o dispositivo e recuperar identificadores – entre outros, IMSI, IMEI, MSISDN e a versão do software.
“Desconhecidos para muitas pessoas hoje em dia, os comandos AT, que foram desenvolvidos originalmente na década de 1980 para operar modems, ainda são usados na maioria dos atuais smartphones”, explica Hromcová.
Entre as possíveis razões para a Attor usar os comandos AT está o fato da plataforma atingir modems e telefones mais antigos. Como alternativa, pode ser usada para se comunicar com alguns dispositivos específicos. Assim, possivelmente, os criminosos aprendem sobre o uso desses dispositivos pela vítima. Isto usando algumas outras técnicas de reconhecimento.
“O fingerprinting de um dispositivo pode servir de base para o roubo de mais dados. Assim, se os criminosos tiverem conhecimento sobre o tipo de dispositivo ligado, poderão criar e implementar um plugin personalizado que seria capaz – utilizando comandos AT – de roubar dados desse dispositivo e fazer alterações no mesmo, incluindo a alteração do firmware do dispositivo”, conclui Hromcová.
