Společnost ESET informuje o havěti, kterou pojmenovalo jako „Attor„. Tuhle havěť krásně vystihuje nadpis článku. Zpětnou analýzou se totiž podařilo zjistit, že za špionáží státních institucí, diplomatů, …, stojí minimálně od roku 2013. A někdo si její existence všiml až v roce 2019!

Nevíme jen to, jak se do PC dostala…

Ač se o tom analýza na welivesecurity.com nezmiňuje, můžeme tuhle havěť zařadit do kategorie Advanced Presistent Threat, česky: havěť, se kterou se běžný domácí uživatel nesetká a pokud snad ano, nebudou mít o Vás útočníci zájem.

Havěť „Attor“ se zaměřuje na rusky hovořící uživatelé (soudě například podle odposlechu aplikací, které jsou v Rusku domácí). Nejvíce obětí je tak pochopitelně na uzemí Ruska, ale ze statistik plyne, že oběti jsou například i na Slovensku. Zajímavostí je, že se nepodařilo zjistit, jak se tahle havěť do počítačů dostala. Za to se dokonale podařilo zmapovat vše, co se děje poté!

Havěť jako Lego

Tahle havěť je jako stavebnice Lego. Pomyslným kostičkám tu říkáme plug-iny a každý takový plug-in je zodpovědný za nějakou konkrétní činnost. K dispozici je například plugin pro snímání obrazovky, nahrávání zvukového záznamu z mikrofonu, odchytávač obsahu schránky (clipboard, CTRL+C / CTRL+V), monitor připojených zařízení (device monitor plug-in), …

Zdroj: welivesecurity.com – architektura havěti Attor

Plug-iny jako díly stavebnice

Speciální roli pak zastává plug-in pro vynášení nasbíraných dat k útočníkům (file uploader). Veškerá komunikace s útočníky probíhá skrze síť TOR, což je takový internet v internetu a zajisťuje tak útočníkům anonymitu a relativní jistotu v tom, že jim řídící server jen tak někdo nevypne. Zajímavostí je, že k uploadu dochází v momentě využívání internetového prohlížeče a to v rámci stejného procesu. Evidentní snaha zůstat v utajení.

Obdobnou roli zastává i plug-in pro stahování dalších příkazů od útočníků (command dispatcher), díky kterému může být další útok upřesněn. Příkladem budiž, že device monitor plug-in objeví na čerstvě vloženém USB flash disku soubory, jejichž názvy prozrazují citlivé či důležité informace. V „druhém kole“ útoku si může útočník skrze tento plug-in zažádat o obsah těchto konkrétních souborů. Command dispatcher může zajistit i aktualizaci samotné havěti. Pro výměnu informací se používá stará dobrá klasika, služba FTP.

Pluginy jsou na disku uloženy jako zašifrované soubory a nebudí tak rozruch u antivirových řešení. Jejich obsahu rozumí až hlavní komponenta havěti (dispatcher – DLL knihovna), která je injektována do většiny procesů. Ta dokáže plug-iny v paměti dešifrovnat a v tu chvíli je zřejmé, že jde též o DLL knihovny. Ty pak dispatcher „bere za své“. Komunikace plug-inů s operačním systémem oběti je pak vedena právě přes dispatcher. Bez zapojených plug-inů je dispatcher neškodný.

Antivirus je na tohle krátký

Toto je patrně další důvod, proč tahle havěť fungovala několik let bez povšimnutí. Pokud byl na počítači oběti přítomen antivirus, na samotných plug-inech nemohl z logiky věci spatřit nic škodlivého, neboť ty nevolají žádné klíčové funkce operačního systému (a to nezmiňuji fakt, že jsou zašifrované). Zároveň nemohl získat ani příliš důkazů k tomu, aby ohlásil podezření na dispatcheru. Ten byl bez plug-inů pouze „mrtvým broukem“. Podezření by mohl mít antivirus pouze v případě, že by dokázal dávat dohromady souvislosti a znal tak celý kontext této havěti. Nicméně taková doba ještě nepřišla…

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..