Diplomáciai létesítményeket támadott az Attor vírus

Egy olyan kártékony programot fedeztek fel biztonsági kutatók, amely legalább hét éve észrevétlenül terjed egyes diplomáciai és kormányzati intézményekben.
 

A valóban kifinomult módszereket alkalmazó kártékony programok egyik ismertetőjele, hogy sokáig képesek rejtve maradni a biztonsági szoftverek előtt. Akár évekig tudnak úgy fertőzni, hogy egy víruskereső sem riaszt. Ezek a károkozók általában nem terjednek széles körben, sokkal inkább célzott támadásokban jutnak szerephez, ami a korai felismerésüket tovább nehezíti. Az ESET szakértői a napokban pontosan egy ilyen kártevőre lettek figyelmesek, amelyet Attor névvel illettek.
 
Moduláris, bővíthető felépítés
 
Az Attor talán legfontosabb jellemzője, hogy különféle bővítményekkel egészíthető ki, és ilyen módon testre szabható a funkcionalitása. A moduljai olyan DLL-fájlokban kapnak helyet, amelyek a fájlstruktúrájukat tekintve teljesen szokványosnak mondhatók, de a károkozásokért felelős kódok titkosítottan kapnak bennük helyet. Ezek csak a memóriában öltenek testet egy dekódolást követően. A víruskutatóknak eddig az alábbi modulokat sikerült kimutatniuk:
- eszközmonitorozó
- hangrögzítő
- billentyűzet és vágólap monitorozó
- képernyőképek készítésére alkalmas plugin
- fájlfeltöltő
- telepítéseket végző összetevő
- parancsfeldolgozó
- kommunikációs modul.


Forrás: ESET
 
A fentiekből az is látható, hogy a károkozó elsősorban kémkedésre született. Különösen odafigyel a közösségi oldalakhoz, postafiókokhoz, végponttól végpontig terjedő titkosítással működő szolgáltatások, VPN-megoldások kémlelésére, valamint a teljes lemeztitkosítással ellátott adathordozókról történő adatkinyerésre. Mindezek mellett figyeli a számítógépekhez csatlakoztatott adattárolókat és mobil készülékeket. Sőt még egy GSM-komponens is helyet kapott benne. A számítógépekről begyűjtött adatokat a vezérlőszervereire tölti fel titkosított módon, a Tor-technológiák adta lehetőségek kihasználásával.
 
A célpontok
 
Az Attor eddigi vizsgálata azt támasztotta alá, hogy a kártékony program már 2013-ban is fertőzött. Azóta elsősorban diplomáciai és kormányzati intézményeket támadott. A legnagyobb számban Oroszországban, Ukrajnában, Szlovákiában, Litvániában és Törökországban volt kimutatható a jelenléte. Az ESET szerint a kártékony program még tartogathat meglepetéseket, de az elemzésekkel annyi információt már sikerült összegyűjteni, hogy mostantól a víruskeresők fel tudják ismerni azt.
Vélemények
 
  1. 4

    A Cisco az ASA és az FTD kapcsán egy súlyos sebezhetőségről számolt be.

  2. 3

    A Visual Studio novemberi frissítésének köszönhetően egy biztonsági rés is befoltozhatóvá vált.

  3. 2

    A Buran zsaroló program nem használ igazán új technikákat, mégis komoly károkat képes okozni a számítógépeken.

 
Partnerhírek
Otthon (is) egy lépéssel a vírustámadások előtt!

Arról rengeteget olvashatunk, hogy a vállalatokra, különböző szervezetekre milyen virtuális veszélyek és kiberbűnözők leselkednek, de mi a helyzet az otthoni felhasználókkal?

Perceptronok veszik fel a harcot az újracsomagolt kártevőkkel

A G DATA DeepRay mesterséges intelligencia alapú technológiával veszi fel a versenyt a folyamatosan változó, újracsomagolt kártevőkkel. A technológia fejlesztéséért felelős csoport vezetője, Carl-Benedikt Bender a módszer működéséről, a fejlesztés során jelentkező kihívásokról beszélt.

hirdetés
Közösség
1