{
	"id": "4aee9e8a-5e51-4bcb-acc1-4055e5899bbe",
	"created_at": "2026-04-06T00:21:26.638137Z",
	"updated_at": "2026-04-10T13:12:31.4502Z",
	"deleted_at": null,
	"sha1_hash": "3b94b7eb65773d68a70e9f7d8642bf439430b0f4",
	"title": "За российскими дипломатами 7 лет следят с помощью шпионского ПО - CNews",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 151641,
	"plain_text": "За российскими дипломатами 7 лет следят с помощью\r\nшпионского ПО - CNews\r\nBy Роман Георгиев\r\nPublished: 2019-10-11 · Archived: 2026-04-05 22:00:09 UTC\r\n11 Октября 2019 11:51 11 Окт 2019 11:51 |\r\nКомпания ESET выявила кампанию кибершпионажа, нацеленную на русскоязычных дипломатов и\r\nчиновников. Операторов особенно интересовали их телефоны, в том числе самые старые.\r\nПротокол AT и сеть Tor\r\nКомпания ESET объявила об обнаружении шпионской кампании, нацеленной на российских дипломатов и\r\nгосударственные ведомства. Кампания длится около семи лет.\r\nШпионское ПО, получившее название Attor, обладает рядом специфических и довольно редко\r\nнаблюдаемых функций. Среди них - использование зашифрованных модулей, коммуникации с\r\nоператорами через сеть Tor, а также плагин, разработанный для создания цифровых отпечатков GSM-устройств с использованием протокола AT.\r\nЗлоумышленники сфокусировали свое внимание на дипломатических и государственных учреждениях. По\r\nинформации ESET, атаки производятся самое позднее с 2013 г., и направлены в первую очередь на тех, кто\r\nособенно заинтересован в защите своей конфиденциальности.\r\nМодульный шпионаж\r\nШпионская платформа, как ее назвали эксперты, имеет модульный характер; отдельные элементы\r\nотвечают за конкретные задачи. Эксперты выявили восемь модулей (или плагинов): первый отвечает за\r\nустановку и сохранность вредоноса в системе, второй функционирует как системный монитор, третий как\r\nсредство записи аудио; также выявлены инструмент для снятия скриншотов, кейлоггер, который также\r\nсохраняет содержимое буфера обмена, средство выгрузки файлов, диспетчер команд и модуль связи с\r\nC\u0026C-сервером.\r\nhttps://safe.cnews.ru/news/top/2019-10-11_za_rossijskimi_diplomatami\r\nPage 1 of 3\n\nКибершпионская кампания, нацеленная на русскоязычных дипломатов, длится, начиная с 2013 года\r\nAttor демонстрирует особенную заинтересованность в конкретных процессах, особенно тех, которые\r\nсвязаны с российскими социальными сетями и шифровальными утилитами. Также его интересуют\r\nпроцессы VPN-сервисов, защищенные почтовые клиенты Hushmail и The Bat! и утилита для шифрования\r\nдисков TrueCrypt.\r\nБиблиотеки вредоносной программы существуют на жестком диске только в сжатом и зашифрованном\r\nвиде: разархивирование происходит только в оперативной памяти. Вероятно, таким образом авторы\r\nвредоноса надеялись предохранить его от обнаружения, и последние семь лет им удавалось этой цели\r\nдостичь.\r\nAttor также обладает рядом механизмов для загрузки и подключения новых плагинов, самообновления и\r\nавтоматической выгрузки собранных данных на сервер операторов.\r\nСкрытый арсенал\r\nСистемный монитор Attor привлек наибольшее внимание исследователей: как выяснилось, этот модуль\r\nиспользует метаданные файлов для создания цифровых отпечатков каждого устройства, используя при\r\nэтом команды протокола AT, разработанного еще в 1980 г. для установления связи с GSM/GPRS-модемами\r\nи телефонами, подключенными в данный момент к компьютеру. По мнению экспертов ESET, целью\r\nавторов Attor было обнаруживать старые модемы и телефоны, и получение важных сведений о них - таких\r\nкак IMEI, IMSI, MSISDN. По-видимому, в дальнейшем операторы Attor, используя эти данные, дополняли\r\nосновной вредонос специализированными плагинами для вывода данных уже с этих конкретных\r\nустройств.\r\nhttps://safe.cnews.ru/news/top/2019-10-11_za_rossijskimi_diplomatami\r\nPage 2 of 3\n\nК настоящему времени ESET удалось проанализировать несколько десятков случаев заражения. Тем не\r\nменее, выяснить первоначальный вектор заражения и установить полный спектр данных, выводом которых\r\nзанимается Attor, до сих пор не удалось. Эксперты ESET полагают, что восемь выявленных плагинов для\r\nAttor - также лишь часть его арсенала.\r\n«Совершенно очевидный случай продвинутого кибершпионажа, - считает Олег Галушкин, генеральный\r\nдиректор компании SEC Consult Services. - По всей видимости, разработкой занималась спецслужба не\r\nслишком дружественного РФ иностранного государства, о чем прямо свидетельствует эффективность\r\nкиберкампании и то, что ее в течение нескольких лет не удавалось обнаружить. Однако конкретная\r\nатрибуция в таких случаях - крайне проблемная и, в конечном счете, неблагодарная вещь».\r\nКак сопровождать СУБД на множестве серверов баз данных\r\nРоман Георгиев\r\nSource: https://safe.cnews.ru/news/top/2019-10-11_za_rossijskimi_diplomatami\r\nhttps://safe.cnews.ru/news/top/2019-10-11_za_rossijskimi_diplomatami\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://safe.cnews.ru/news/top/2019-10-11_za_rossijskimi_diplomatami"
	],
	"report_names": [
		"2019-10-11_za_rossijskimi_diplomatami"
	],
	"threat_actors": [
		{
			"id": "aa73cd6a-868c-4ae4-a5b2-7cb2c5ad1e9d",
			"created_at": "2022-10-25T16:07:24.139848Z",
			"updated_at": "2026-04-10T02:00:04.878798Z",
			"deleted_at": null,
			"main_name": "Safe",
			"aliases": [],
			"source_name": "ETDA:Safe",
			"tools": [
				"DebugView",
				"LZ77",
				"OpenDoc",
				"SafeDisk",
				"TypeConfig",
				"UPXShell",
				"UsbDoc",
				"UsbExe"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "a76ba723-d744-472a-b683-19d80e105d9f",
			"created_at": "2023-01-06T13:46:39.089347Z",
			"updated_at": "2026-04-10T02:00:03.209505Z",
			"deleted_at": null,
			"main_name": "Attor",
			"aliases": [],
			"source_name": "MISPGALAXY:Attor",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434886,
	"ts_updated_at": 1775826751,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3b94b7eb65773d68a70e9f7d8642bf439430b0f4.pdf",
		"text": "https://archive.orkl.eu/3b94b7eb65773d68a70e9f7d8642bf439430b0f4.txt",
		"img": "https://archive.orkl.eu/3b94b7eb65773d68a70e9f7d8642bf439430b0f4.jpg"
	}
}