in

ESET découvre « Attor », une plateforme d’espionnage ciblant des entités gouvernementales

Attor cible les gouvernements et les diplomates d’Europe de l’Est et récupère l’empreinte numérique des téléphones de ses victimes

Les chercheurs d’ESET ont mis en lumière plusieurs attaques d’espionnage préoccupantes ciblant les gouvernements et les organisations diplomatiques d’Europe de l’Est. L’analyse montre que ces attaques ont été menées via une plateforme de cyberespionnage inconnue jusqu’à présent. Cette dernière se démarque par la modularité de son architecture et ses deux fonctionnalités phares : le protocole AT utilisé par l’un de ses plug-ins pour identifier les empreintes des téléphones GSM et ses communications réseau basées sur Tor. Les chercheurs d’ESET ont choisi de combiner ces deux fonctionnalités pour baptiser la plateforme « Attor ».

« Les cybercriminels qui utilisent Attor ciblent les missions diplomatiques et les institutions gouvernementales. Ces attaques remontent au moins à 2013 et visent les utilisateurs de ces services russes, en particulier ceux qui se préoccupent de la confidentialité de leurs données », explique Zuzana Hromcová, chercheuse malware chez ESET et responsable de l’analyse.

Attor repose sur une architecture modulaire : elle est composée d’un distributeur de tâches et de plug-ins chargeables qui utilisent le distributeur pour déployer leurs fonctionnalités de base. Ces plug-ins sont ensuite transmis à l’ordinateur compromis sous forme de DLL chiffrés. Il est uniquement possible d’accéder à leur version complète depuis la mémoire. « Sans avoir accès au distributeur de tâches, il est donc difficile d’obtenir les plug-ins d’Attor et de les déchiffrer », explique Mme Hromcová.

Attor cible des processus spécifiques comme les processus liés aux réseaux sociaux russes ou à certains outils de chiffrement/signature digitale, le service de VPN HMA, les services de messagerie chiffrée de bout en bout comme Hushmail et The Bat!, ou encore le logiciel de chiffrement de disque TrueCrypt.

Attor est également capable d’analyser plus en détail l’utilisation de TrueCrypt sur l’ordinateur ciblé.

« Attor utilise une méthode unique pour identifier la version de TrueCrypt. Il se base sur des codes de contrôle spécifiques à TrueCrypt pour communiquer avec l’application : cette approche montre que les créateurs de la plateforme connaissent probablement le code open source utilisé par l’assistant d’installation de TrueCrypt. Nous n’avions jamais entendu parler de cette technique jusqu’à présent », ajoute-t-elle.

Parmi toutes les fonctionnalités déployables via ses plug-ins, Attor se démarque sur deux aspects singuliers : la communication réseau et la reconnaissance des empreintes des appareils GSM. Pour garantir l’anonymat et l’absence de traces, Attor utilise Tor: Onion Service Protocol, avec une adresse .onion pour son serveur C&C.

L’infrastructure de ses communications C&C repose sur quatre composants : le distributeur de tâches assurant les fonctions de chiffrement et trois plug-ins qui déploient le protocole FTP, la fonctionnalité Tor et la communication réseau proprement dite. « Avec ce système, il est impossible d’analyser les communications réseau d’Attor sans avoir tous les éléments en main », explique Mme Hromcová.

Attor inclut également un plug-in insolite capable de collecter des données sur les modems/appareils téléphoniques et les appareils de stockage connectés, ainsi que des informations sur les fichiers stockés sur ces supports. Selon les chercheurs d’ESET, la reconnaissance des empreintes des appareils GSM connectés à l’ordinateur compromis via un port série est particulièrement intéressante. Attor utilise des « commandes AT » pour communiquer avec l’appareil et obtenir ses identifiants (IMSI, IMEI, MSISDN et version logicielle, entre autres).

« Beaucoup de gens ignorent que les commandes AT développées dans les années 80 pour contrôler les modems sont encore utilisées dans la majorité des smartphones d’aujourd’hui », déclare Mme Hromcová.

Il est possible qu’Attor utilise les commandes AT pour mieux cibler les modems et les anciens modèles de smartphones, ou alors pour communiquer avec des appareils spécifiques. Les cybercriminels s’appuient peut-être sur d’autres méthodes de reconnaissance pour identifier les équipements utilisés par leurs potentielles victimes.

« La reconnaissance des empreintes des appareils peut permettre aux acteurs malveillants de dérober d’autres données : une fois le type d’appareil identifié, les cybercriminels peuvent développer et déployer un plug-in spécial capable de collecter les données qu’il contient (à l’aide des commandes AT) et de le modifier, notamment au niveau du firmware », conclut Mme Hromcová.

Pour en savoir plus, consultez l’article « AT commands, TOR-based communications: Meet Attor, a fantasy creature and also a spy platform » sur WeLiveSecurity et dans le livre blanc XYZ. Suivez ESET research sur Twitterpour rester informé(e) des derniers travaux de recherche d’ESET.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.