Hlavní obsah

Experti odhalili unikátní hackerskou platformu. Piráti sbírali otisky zařízení

23. 10. 2019, 12:55

Unikátní a až do odhalení neznámou e-špionážní platformu odhalili bezpečnostní experti z antivirové společnosti Eset. Právě na tuto platformu byl napojen špionážní virus, jehož hlavním úkolem bylo sbírat otisky GSM zařízení. Útočníci přitom cílili na vládní a diplomatické entity ve východní Evropě. To ale nutně neznamená, že se s tímto záškodníkem nemohli setkat i běžní uživatelé.

Článek

S e-špionážní platformou se setkali bezpečnostní experti poprvé. Zajímavá je především svou modulární architekturou a dvěma hlavními funkcemi: využití AT protokolu pro vytváření otisku mobilního zařízení a Tor protokolu, který maskuje síťovou komunikaci. Právě z těchto dvou funkcí vznikl i název špionážního záškodníka Attor.

„Útočníci, kteří stojí za Attorem, míří na diplomatické mise a vládní instituce. Tyto útoky probíhají přinejmenším od roku 2013. Cílovými obětmi jsou uživatelé ruských sociálních a platebních služeb, a především pak ti, kteří se zajímají o ochranu svého soukromí,“ popsala Zuzana Hromcová, bezpečnostní analytička Esetu, která hrozbu zkoumala.

Využili desítky let starou technologii

Podle ní na mobilním zařízení Attor napadá pouze specifické procesy. „Mimo jiné jde o aplikace spojené s ruskými sociálními sítěmi, některými šifrovacími nástroji nebo digitálními podpisy, VPN službou MHA, šifrováním e-mailových služeb Hushmail a The Bat! nebo také nástrojem na šifrování disku TrueCrypt,“ přiblížila bezpečnostní expertka.

Zajímavé je také to, že útočníci v podstatě ve zmiňovaném škodlivém kódu používají desítky let starou technologii. „AT příkazy byly původně vyvinuty v 80. letech ke kontrole modemu a dodnes se používají i v moderních smartphonech. To je poměrně málo známá věc,“ připomněla Hromcová.

A co vlastně dokáže na napadeném zařízení tento nezvaný host udělat? „Nejzajímavější plugin z arzenálu Attoru sbírá informace o připojeném modemu či telefonu s modemem, připojených discích a rovněž informace o souborech, které se na nich nacházejí,“ konstatovala bezpečnostní expertka s tím, že virus nezajímají soubory samotné, ale pouze metadata zařízení.

Připravovali si půdu pro další útoky

Podle analytiků z Esetu je tak jeho primárním cílem vytváření otisků GSM zařízení připojených přes sériový port. Díky tomu by pak mohli v další vlně cílit hackeři své útoky na modemy a starší telefony, které jsou využívány v infrastrukturách institucí.

„Otisk zařízení může sloužit jako základ pro další krádeže dat. Pokud útočníci zjistí typ připojeného zařízení, mohou vytvořit a nasadit optimalizovaný plugin, který by byl schopen pomocí AT příkazů ukrást z tohoto zařízení data a provést v něm změny, včetně změn firmwaru,“ dodala Hromcová.