Les chercheurs d’ESET ont mis en lumière plusieurs attaques d’espionnage préoccupantes ciblant les gouvernements et les organisations diplomatiques d’Europe de l’Est. L’analyse montre que ces attaques ont été menées via une plateforme de cyberespionnage inconnue jusqu’à présent. Cette dernière se démarque par la modularité de son architecture et ses deux fonctionnalités phares : le protocole AT utilisé par l’un de ses plug-ins pour identifier les empreintes des téléphones GSM et ses communications réseau basées sur Tor. Les chercheurs d’ESET ont choisi de combiner ces deux fonctionnalités pour baptiser la plateforme « Attor ».
« Les cybercriminels qui utilisent Attor ciblent les missions diplomatiques et les institutions gouvernementales. Ces attaques remontent au moins à 2013 et visent les utilisateurs de ces services russes, en particulier ceux qui se préoccupent de la confidentialité de leurs données », explique Zuzana Hromcová, chercheuse malware chez ESET et responsable de l’analyse.
Attor repose sur une architecture modulaire : elle est composée d’un distributeur de tâches et de plug-ins chargeables qui utilisent le distributeur pour déployer leurs fonctionnalités de base. Ces plug-ins sont ensuite transmis à l’ordinateur compromis sous forme de DLL chiffrés. Il est uniquement possible d’accéder à leur version complète depuis la mémoire. « Sans avoir accès au distributeur de tâches, il est donc difficile d’obtenir les plug-ins d’Attor et de les déchiffrer », explique Mme Hromcová.
Attor cible des processus spécifiques comme les processus liés aux réseaux sociaux russes ou à certains outils de chiffrement/signature digitale, le service de VPN HMA, les services de messagerie chiffrée de bout en bout comme Hushmail et The Bat!, ou encore le logiciel de chiffrement de disque TrueCrypt.
Attor est également capable d’analyser plus en détail l’utilisation de TrueCrypt sur l’ordinateur ciblé. « Attor utilise une méthode unique pour identifier la version de TrueCrypt. Il se base sur des codes de contrôle spécifiques à TrueCrypt pour communiquer avec l’application : cette approche montre que les créateurs de la plateforme connaissent probablement le code open source utilisé par l’assistant d’installation de TrueCrypt. Nous n’avions jamais entendu parler de cette technique jusqu’à présent », ajoute-t-elle.
Parmi toutes les fonctionnalités déployables via ses plug-ins, Attor se démarque sur deux aspects singuliers : la communication réseau et la reconnaissance des empreintes des appareils GSM. Pour garantir l’anonymat et l’absence de traces, Attor utilise Tor: Onion Service Protocol, avec une adresse .onion pour son serveur C&C.
L’infrastructure de ses communications C&C repose sur quatre composants : le distributeur de tâches assurant les fonctions de chiffrement et trois plug-ins qui déploient le protocole FTP, la fonctionnalité Tor et la communication réseau proprement dite. « Avec ce système, il est impossible d’analyser les communications réseau d’Attor sans avoir tous les éléments en main », explique Mme Hromcová.
Attor inclut également un plug-in insolite capable de collecter des données sur les modems/appareils téléphoniques et les appareils de stockage connectés, ainsi que des informations sur les fichiers stockés sur ces supports. Selon les chercheurs d’ESET, la reconnaissance des empreintes des appareils GSM connectés à l’ordinateur compromis via un port série est particulièrement intéressante. Attor utilise des « commandes AT » pour communiquer avec l’appareil et obtenir ses identifiants (IMSI, IMEI, MSISDN et version logicielle, entre autres).
« Beaucoup de gens ignorent que les commandes AT développées dans les années 80 pour contrôler les modems sont encore utilisées dans la majorité des smartphones d’aujourd’hui », déclare Mme Hromcová.
Il est possible qu’Attor utilise les commandes AT pour mieux cibler les modems et les anciens modèles de smartphones, ou alors pour communiquer avec des appareils spécifiques. Les cybercriminels s’appuient peut-être sur d’autres méthodes de reconnaissance pour identifier les équipements utilisés par leurs potentielles victimes.
« La reconnaissance des empreintes des appareils peut permettre aux acteurs malveillants de dérober d’autres données : une fois le type d’appareil identifié, les cybercriminels peuvent développer et déployer un plug-in spécial capable de collecter les données qu’il contient (à l’aide des commandes AT) et de le modifier, notamment au niveau du firmware », conclut Mme Hromcová.
À propos d’ESET
Fondée en 1992, ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd’hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 800 millions de postes dans le monde.