Cybersecurity onderzoekers hebben een nieuw malware ontdekt dat onder andere het gebruik van de encryptiesoftware 'TrueCrypt' op besmette systemen monitort. De malware heet 'Attor' en wordt door antivirusbedrijf 'ESET' als een compleet spionageplatform omschreven.
Wat de malware naast het monitoren van TrueCrypt ook doet opvallen is het verzamelen van IMEI, IMSI en MSISDN-nummers van aangesloten telefoons. Hoe 'Attor' precies wordt verspreid is onbekend. De malware is sinds 2013 echter al actief en heeft het voornamelijk op Russisch sprekende gebruikers voorzien, aldus de onderzoekers.
Eenmaal actief op een computer maakt 'Attor' screenshots van Russische chat-apps, alsmede van andere software, sociale netwerken, e-maildiensten en cloudopslag- en bestandsuitwisselingsdiensten. 'Attor' kan ook audio opnemen, toetsaanslagen opslaan. De malware heeft het daarnaast voorzien op gebruikers van encryptiesoftware en -diensten. Zo worden screenshots gemaakt bij het gebruik van vpn-dienst Hide My Ass! (HMA), de versleutelde maildienst Hushmail en de e-mailclient The Bat.
"De spionageoperatie van 'Attor' is zeer gericht - we konden de operatie van 'Attor' tot ten minste 2013 herleiden, maar we hebben slechts enkele tientallen slachtoffers geïdentificeerd." Leest de analyse gepubliceerd door ESET onderaan dit artikel.
"In totaal omvat de infrastructuur voor C&C-communicatie vier Attor-componenten - de dispatcher biedt coderingsfuncties en drie plug-ins die het FTP-protocol, de Tor-functionaliteit en de daadwerkelijke netwerkcommunicatie implementeren."
"Dit mechanisme maakt het onmogelijk om 'Attors' netwerkcommunicatie te analyseren tenzij alle puzzelstukjes zijn verzameld. “
“We konden acht plug-ins van 'Attor' herstellen, sommige in meerdere versies. Ervan uitgaande dat de nummering van plug-ins continu is, en dat actoren achter 'Attor' verschillende sets plug-ins per slachtoffer kunnen gebruiken, we vermoed dat er nog meer plug-ins zijn die nog niet zijn ontdekt.” Aldus de onderzoekers.
Ook bij het gebruik van encryptiesoftware TrueCrypt maakt 'Attor' screenshots. Een ander onderdeel van de malware inspecteert het TrueCrypt-gebruik van het doelwit. Dit onderdeel monitort aangesloten schijven op de computer en kijkt naar de aanwezigheid van TrueCrypt. Wanneer 'Attor' de aanwezigheid van TrueCrypt detecteert stuurt het een specifieke code om de versie te bepalen.
Dit zijn TrueCrypt-specifieke controlecodes. "De makers van de malware moeten de opensourcecode van de TrueCrypt-installer dan ook begrijpen. We hebben deze techniek nog niet eerder gezien of gedocumenteerd in andere malware", zo laten de onderzoekers weten. De malware is sinds 2013 actief, toen TrueCrypt nog door allerlei partijen werd aanbevolen. Sinds 2014 is de ondersteuning van TrueCrypt echter gestopt en krijgen gebruikers juist het advies om met andere encryptiesoftware te werken.
Een ander opvallend onderdeel van 'Attor' is het verzamelen van informatie over aangesloten telefoons. De onderzoekers noemen de manier waarop de malware mobiele telefoons fingerprint zelfs uniek. Zodra er een modem of telefoon op de COM-poort van de besmette computer wordt aangesloten gebruikt de malware AT-commando's om via de seriële poort met het toestel te communiceren.
Volgens de onderzoekers hebben de aanvallers het dan ook niet op moderne smartphones voorzien, aangezien die via usb worden aangesloten en de malware via usb aangesloten apparaten negeert. Een mogelijke verklaring is dat de aanvallers het op modems en oudere telefoons hebben voorzien, of dat het om specifieke apparaten gaat die door het slachtoffer of aangevallen organisatie worden gebruikt. "Het is mogelijk dat de aanvallers via verkenningstechnieken weten dat het slachtoffer deze apparaten gebruikt", merken de onderzoekers op.
De onderzoekers concluderen dat 'Attor' een spionageplatform is dat is gebruikt bij zeer gerichte aanvallen tegen gebruikers in Oost-Europa en Russisch sprekende, securitybewuste gebruikers. Wie erachter de malware zit laat ESET niet weten. Wel bevat het onderzoeksrapport verschillende IOCs (pdf). Indicators of compromise (IOCs) zijn aanwijzingen waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, op een systeem of binnen een netwerk kan worden vastgesteld.
Bron: welivesecurity, security, securityaffairs
Reactie plaatsen
Reacties