Malware Spionase Attor Punya Fungsi GSM Fingerprint

Spionase dunia maya merupakan ancaman paling serius, menyebabkan meningkatnya risiko untuk infrastruktur penting nasional dan bisnis global. Spionase dunia maya merupakan ancaman paling berbahaya terhadap citra bisnis global.

Dan peneliti ESET baru-baru ini telah menemukan platform spionase baru dengan arsitektur kompleks, yang dibuat sedemikian rupa untuk menghindari deteksi dan analisis lebih sulit dan memiliki dua fitur penting.

  1. Plugin GSM-nya menggunakan protokol perintah AT.

  2. Menggunakan Tor untuk komunikasi jaringannya.

Peneliti ESET kemudian memberi nama platform tersebut sebagai Attor platform cyberespionage.

Target Attor

ESET melacak dan menemukan jejak-jejak Attor hingga tahun 2013. Namun hanya mampu mengidentifikasi beberapa korban saja, meskipun demikian ESET dapat mempelajari korban seperti apa yang menjadi target dengan menganalisis artefak di malware.

Seperti untuk dapat melaporkan kegiatan korban, Attor memantau proses aktif untuk mengambil tangkapan layar dari aplikasi yang dipilih. Hanya aplikasi tertentu yang ditargetkan dan memiliki substring tertentu dalam nama proses atau judul jendela. Selain layanan standar seperti browser web populer, aplikasi pengiriman pesan instan dan layanan email.

Selain penargetan geografis dan bahasa, pembuat Attor tampaknya tertarik secara khusus pada pengguna yang peduli dengan privasi mereka. Attor dikonfigurasikan untuk mengambil tangkapan layar dari utilitas enkripsi/tanda tangan digital, layanan VPN HMA, layanan email enkripsi end-to-end Hushmail dan The Bat, dan utilitas enkripsi disk TrueCrypt.

Arsitektur platform

Attor terdiri dari plugin dispatcher dan loadable, yang semuanya diimplementasikan sebagai dynamic-link libraries (DLLs). Langkah pertama kompromi dimulai dengan dropping semua komponen ini pada disk dan memuat DLL dispatcher.

Dispatcher adalah inti dari seluruh platform, ini berfungsi sebagai unit manajemen dan sinkronisasi untuk plugin tambahan. Pada setiap sistem mulai, itu menyuntikkan dirinya ke hampir semua proses yang sedang berjalan dan memuat semua plugin yang tersedia dalam masing-masing proses ini. Sebagai pengecualian, Attor menghindari injeksi ke beberapa sistem dan proses yang terkait dengan produk keamanan. Selain itu, operator adalah satu-satunya komponen platform yang memiliki akses ke data konfigurasi.

Plugin Attor dikirimkan ke komputer yang dikompromikan sebagai DLL, dienkripsi secara asimetris dengan RSA. Plugin hanya sepenuhnya pulih dalam memori, menggunakan kunci RSA publik yang tertanam dalam operator. Akibatnya, sulit untuk mendapatkan plugin Attor, dan mendekripsi mereka, tanpa akses ke operator.

ESET dapat memulihkan delapan plugin Attor, beberapa dalam beberapa versi. Dengan asumsi penomoran plugin berkelanjutan, dan bahwa aktor di belakang Attor dapat menggunakan set plugin berbeda berdasarkan basis per-korban, ESET menduga bahkan ada lebih banyak plugin yang belum ditemukan.

Plugin/pengaya bertanggung jawab atas persistensi platform (Penginstal/pengawas plugin) untuk mengumpulkan informasi sensitif (Monitor perangkat, Screengrabber, perekam Audio, Keylogger/clipboard) dan untuk komunikasi jaringan dengan server C&C (Pengunggah file, pengirim perintah/SOCKS) proksi, klien Tor). Attor memiliki mekanisme bawaan untuk menambahkan plugin baru, untuk memperbarui sendiri, dan untuk secara otomatis mengumpulkan data yang di-exfiltrating/dicuri dan file log.

Sidik jari GSM

Plugin paling aneh dalam gudang senjata Attor mengumpulkan informasi tentang modem/perangkat ponsel yang terhubung dan drive penyimpanan yang terhubung, dan file yang ada di drive ini. Plugin bertanggung jawab untuk pengumpulan metadata, bukan file itu sendiri, jadi ESET menganggapnya sebagai plugin yang digunakan untuk sidik jari perangkat, dan karenanya kemungkinan digunakan sebagai basis untuk pencurian data lebih lanjut.

Setiap kali modem atau perangkat telepon terhubung ke port COM, Monitor menggunakan perintah AT untuk berkomunikasi dengan perangkat melalui port serial terkait. Perintah AT juga dikenal sebagai perintah Hayes, pada awalnya dikembangkan pada 1980-an untuk memerintahkan modem untuk melakukan panggilan, menutup telepon atau mengubah pengaturan koneksi. Set perintah kemudian diperluas untuk mendukung fungsionalitas tambahan, baik standar dan khusus vendor.

Dari sebuah makalah diketahui bahwa perintah masih digunakan di sebagian besar smartphone modern. Para peneliti tersebut dapat mem-bypass mekanisme keamanan dan berkomunikasi dengan smartphone menggunakan perintah AT melalui antarmuka USB mereka. Ribuan perintah dipulihkan dan diuji, termasuk yang mengirim pesan SMS, meniru layar sentuh, atau membocorkan informasi sensitif. Penelitian itu menggambarkan bahwa perintah AT menimbulkan risiko serius ketika disalahgunakan.

Sedangkan untuk plugin Attor, ESET hanya dapat memperkirakan mengapa perintah AT digunakan. ESET mendeteksi versi 64-bit dari plugin ini pada 2019, dan dapat mengkonfirmasi itu masih merupakan bagian dari versi Attor terbaru. Di sisi lain, sepertinya tidak mungkin menargetkan smartphone modern. Plugin mengabaikan perangkat yang terhubung melalui port USB, dan hanya kontak yang terhubung melalui port serial lebih tepatnya, perangkat yang nama ramahnya cocok dengan “COM *”.

Penjelasan yang lebih mungkin tentang motif utama plugin adalah bahwa ia menargetkan modem dan ponsel yang lebih lama. Atau dapat digunakan untuk berkomunikasi dengan beberapa perangkat tertentu (digunakan oleh korban atau organisasi target) yang terhubung ke port COM atau ke port USB menggunakan adaptor USB-to-serial. Dalam skenario ini, mungkin saja pelaku telah mengetahui tentang penggunaan perangkat oleh korban dengan menggunakan beberapa teknik pengintaian lainnya.

Sehingga dapat diambil kesimpulan, Attor adalah platform spionase, yang digunakan untuk serangan yang sangat bertarget terhadap pengguna kelas atas dan yang berkaitan dengan pengguna keamanan.

Malware yang mampu bertahan dari pantauan sejak 2013 ini memiliki arsitektur plugin-loadable yang dapat digunakan untuk menyesuaikan fungsionalitas untuk korban tertentu. Termasuk plugin yang tidak biasa untuk sidik jari GSM yang menggunakan perintah AT yang jarang digunakan, dan menggabungkan Tor dengan tujuan anonimitas dan tidak dapat dilacak. Penelitian ESET memberikan wawasan yang mendalam tentang malware tersebut dan menyarankan bahwa ada baiknya pelacakan lebih lanjut dari operasi kelompok di belakangnya.