# За российскими дипломатами 7 лет следят с помощью шпионского ПО

**[safe.cnews.ru/news/top/2019-10-11_za_rossijskimi_diplomatami](https://safe.cnews.ru/news/top/2019-10-11_za_rossijskimi_diplomatami)**

[Безопасность](https://safe.cnews.ru/) **[Стратегия безопасности](https://safe.cnews.ru/strategy)** [Бизнес](https://biz.cnews.ru/) [Кадры](https://biz.cnews.ru/assigment_discharge) [Маркет](https://market.cnews.ru/)
11 Октября 2019 11:51 11 Окт 2019 11:51 |

Поделиться
**Компания ESET выявила кампанию кибершпионажа, нацеленную на**
**русскоязычных дипломатов и чиновников. Операторов особенно интересовали**
**их телефоны, в том числе самые старые.**

## Протокол AT и сеть Tor

Компания [ESET объявила об обнаружении шпионской кампании, нацеленной на](https://www.cnews.ru/book/ESET_-)
[российских дипломатов и](https://www.cnews.ru/book/%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D1%8F_-_%D0%A0%D0%A4_-_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%84%D0%B5%D0%B4%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F) [государственные ведомства. Кампания длится около семи](https://www.cnews.ru/book/%D0%93%D0%BE%D1%81%D1%83%D0%B4%D0%B0%D1%80%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D1%8B_%D0%B2%D0%BB%D0%B0%D1%81%D1%82%D0%B8_-_%D0%93%D0%BE%D1%81%D1%83%D0%B4%D0%B0%D1%80%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D1%8B%D0%B9_%D1%81%D0%B5%D0%BA%D1%82%D0%BE%D1%80_%D1%8D%D0%BA%D0%BE%D0%BD%D0%BE%D0%BC%D0%B8%D0%BA%D0%B8_-_%D0%93%D0%BE%D1%81%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D1%87%D0%B8%D0%BA_-_%D0%93%D0%BE%D1%81%D1%83%D0%B4%D0%B0%D1%80%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D1%8B%D0%B9_%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D1%87%D0%B8%D0%BA_-_%D0%93%D0%BE%D1%81%D1%83%D0%B4%D0%B0%D1%80%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%B8_%D0%BC%D1%83%D0%BD%D0%B8%D1%86%D0%B8%D0%BF%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-_%D0%93%D0%BE%D1%81%D1%81%D0%B5%D0%BA%D1%82%D0%BE%D1%80)
лет.

[Шпионское ПО, получившее название Attor, обладает рядом специфических и](https://www.cnews.ru/book/Spyware_-_Stalkerware_-_%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D0%BE%D0%B5_%D0%9F%D0%9E_-_%D0%A8%D0%BF%D0%B8%D0%BE%D0%BD%D1%81%D0%BA%D0%BE%D0%B5_%D0%9F%D0%9E_-_%D0%A8%D0%BF%D0%B8%D0%BE%D0%BD%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D0%BA%D0%B0_-_%D1%88%D0%BF%D0%B8%D0%BE%D0%BD)
довольно редко наблюдаемых функций. Среди них - использование зашифрованных
модулей, коммуникации с операторами через сеть [Tor, а также](https://www.cnews.ru/book/Tor_Project_-_Tor_-_Onion_routing_-_%D0%9F%D0%9E_%D0%B4%D0%BB%D1%8F_%D0%B0%D0%BD%D0%BE%D0%BD%D0%B8%D0%BC%D0%BD%D0%BE%D0%B3%D0%BE_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE_%D1%81%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F_-_%D0%9B%D1%83%D0%BA%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F) [плагин, разработанный](https://www.cnews.ru/book/Plug-in_-_%D0%9F%D0%BB%D0%B0%D0%B3%D0%B8%D0%BD_-_%D0%9D%D0%B5%D0%B7%D0%B0%D0%B2%D0%B8%D1%81%D0%B8%D0%BC%D0%BE_%D0%BA%D0%BE%D0%BC%D0%BF%D0%B8%D0%BB%D0%B8%D1%80%D1%83%D0%B5%D0%BC%D1%8B%D0%B9_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D1%8B%D0%B9_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8C)
для создания цифровых отпечатков GSM-устройств с использованием протокола AT.

[Злоумышленники сфокусировали свое внимание на дипломатических и](https://www.cnews.ru/book/%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_-_%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_-_%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_-_%D0%98%D0%91-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%82%D0%BE%D1%80_-_%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%BF%D1%80%D0%B5%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1%8C_-_Cybersecurity)
государственных учреждениях. По информации ESET, атаки производятся самое
позднее с 2013 г., и направлены в первую очередь на тех, кто особенно заинтересован
в защите своей [конфиденциальности.](https://www.cnews.ru/book/%D0%9A%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5_-_%D0%9A%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%B8_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0_%D1%83%D1%87%D0%B5%D1%82%D0%BD%D1%8B%D1%85_%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B5%D0%B9)

## Модульный шпионаж

Шпионская платформа, как ее назвали эксперты, имеет модульный характер;
отдельные элементы отвечают за конкретные задачи. Эксперты выявили восемь
модулей (или плагинов): первый отвечает за установку и сохранность вредоноса в
системе, второй функционирует как системный монитор, третий как средство записи
аудио; также выявлены инструмент для снятия скриншотов, кейлоггер, который также
сохраняет содержимое буфера обмена, средство выгрузки файлов, диспетчер команд
и модуль связи с C&C-сервером.


-----

Кибершпионская кампания, нацеленная на русскоязычных дипломатов, длится,
начиная с 2013 года

Attor демонстрирует особенную заинтересованность в конкретных процессах, особенно
тех, которые связаны с российскими социальными сетями и шифровальными
утилитами. Также его интересуют процессы VPN-сервисов, защищенные почтовые
клиенты Hushmail и [The Bat! и утилита для шифрования дисков TrueCrypt.](https://www.cnews.ru/book/The_Bat_-_%D0%BF%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82)

Библиотеки вредоносной программы существуют на жестком диске только в сжатом и
зашифрованном виде: разархивирование происходит только в [оперативной памяти.](https://www.cnews.ru/book/RAM_-_Random_Access_Memory_-_%D0%9F%D0%B0%D0%BC%D1%8F%D1%82%D1%8C_%D1%81_%D0%BF%D1%80%D0%BE%D0%B8%D0%B7%D0%B2%D0%BE%D0%BB%D1%8C%D0%BD%D1%8B%D0%BC_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BE%D0%BC_-_%D0%9E%D0%BF%D0%B5%D1%80%D0%B0%D1%82%D0%B8%D0%B2%D0%BD%D0%BE%D0%B5_%D0%B7%D0%B0%D0%BF%D0%BE%D0%BC%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B5%D0%B5_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE_%D0%9E%D0%97%D0%A3)
Вероятно, таким образом авторы вредоноса надеялись предохранить его от
обнаружения, и последние семь лет им удавалось этой цели достичь.

Attor также обладает рядом механизмов для загрузки и подключения новых плагинов,
[самообновления и автоматической выгрузки собранных данных на сервер операторов.](https://www.cnews.ru/book/%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80_-_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BD%D1%8B%D0%B5_%D0%BF%D0%BB%D0%B0%D1%82%D1%84%D0%BE%D1%80%D0%BC%D1%8B_-_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%BE%D1%80%D1%83%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5)

## Скрытый арсенал

Системный монитор Attor привлек наибольшее внимание исследователей: как
выяснилось, этот модуль использует метаданные файлов для создания [цифровых](https://www.cnews.ru/book/%D0%A6%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D1%8F_%D1%82%D1%80%D0%B0%D0%BD%D1%81%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F_-_Digital_Transformation_-_%D0%A6%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_-_%D0%A6%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BE%D0%B5_%D0%BF%D1%80%D0%B5%D0%B4%D0%BF%D1%80%D0%B8%D1%8F%D1%82%D0%B8%D0%B5_-_%D0%94%D0%B8%D0%B4%D0%B6%D0%B8%D1%82%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_-_%D0%A6%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D1%8B%D0%B5_%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8_%D0%B2_%D0%B1%D0%B8%D0%B7%D0%BD%D0%B5%D1%81%D0%B5_-_%D0%A6%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D1%81%D1%82%D0%B2%D0%BE)
отпечатков каждого устройства, используя при этом команды протокола AT,
разработанного еще в 1980 г. для установления связи с [GSM/GPRS-модемами и](https://www.cnews.ru/book/GSMA_-_Global_System_for_Mobile_Communications_-_%D0%9C%D0%B5%D0%B6%D0%B4%D1%83%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D0%B0%D1%8F_%D0%B0%D1%81%D1%81%D0%BE%D1%86%D0%B8%D0%B0%D1%86%D0%B8%D1%8F_GSM_-_Global_System_for_Mobile_Communications_-_%D0%93%D0%BB%D0%BE%D0%B1%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9_%D1%81%D1%82%D0%B0%D0%BD%D0%B4%D0%B0%D1%80%D1%82_%D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BE%D0%B9_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE%D0%B9_%D1%81%D0%BE%D1%82%D0%BE%D0%B2%D0%BE%D0%B9_%D1%81%D0%B2%D1%8F%D0%B7%D0%B8_%D1%81_%D1%80%D0%B0%D0%B7%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC_%D0%BA%D0%B0%D0%BD%D0%B0%D0%BB%D0%BE%D0%B2_%D0%BF%D0%BE_%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%B8_TDMA_%D0%B8_%D1%87%D0%B0%D1%81%D1%82%D0%BE%D1%82%D0%B5_FDMA_)
телефонами, подключенными в данный момент к [компьютеру. По мнению экспертов](https://www.cnews.ru/book/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_-_%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80_-_%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_-_%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D0%B0%D1%8F_%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D0%BA%D0%B0)
ESET, целью авторов Attor было обнаруживать старые модемы и телефоны, и
получение важных сведений о них - таких как [IMEI,](https://www.cnews.ru/book/IMEI_-_International_Mobile_Equipment_Identity_-_%D0%9C%D0%B5%D0%B6%D0%B4%D1%83%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D1%8B%D0%B9_%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D1%80_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BE%D0%B1%D0%BE%D1%80%D1%83%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F) [IMSI,](https://www.cnews.ru/book/IMSI_-_International_Mobile_Subscriber_Identity_-_%D0%9C%D0%B5%D0%B6%D0%B4%D1%83%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D1%8B%D0%B9_%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D1%80_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%B0_-_%D0%98%D0%BD%D0%B4%D0%B8%D0%B2%D0%B8%D0%B4%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9_%D0%BD%D0%BE%D0%BC%D0%B5%D1%80_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%B0_-_TMSI_-_%D0%98%D0%B4%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%B0) [MSISDN. По-видимому, в](https://www.cnews.ru/book/MSISDN_-_Mobile_Subscriber_Integrated_Services_Digital_Number_-_%D0%9D%D0%BE%D0%BC%D0%B5%D1%80_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%B0_%D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BE%D0%B9_%D1%81%D0%B5%D1%82%D0%B8_%D1%81_%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D0%B5%D0%B9_%D1%81%D0%BB%D1%83%D0%B6%D0%B1_%D0%B4%D0%BB%D1%8F_%D1%81%D0%B2%D1%8F%D0%B7%D0%B8)


-----

[дальнейшем операторы Attor, используя эти данные, дополняли основной вредонос](https://www.cnews.ru/book/%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D0%BE%D0%B5_%D0%9F%D0%9E_-_%D0%97%D0%BB%D0%BE%D0%B2%D1%80%D0%B5%D0%B4_-_malware)
специализированными плагинами для вывода данных уже с этих конкретных
устройств.

К настоящему времени ESET удалось проанализировать несколько десятков случаев
[заражения. Тем не менее, выяснить первоначальный вектор заражения и установить](https://www.cnews.ru/book/%D0%A0%D0%BE%D1%81%D1%82%D0%B5%D1%85_-_%D0%A0%D0%BE%D1%81%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%B8%D0%BA%D0%B0_-_%D0%9D%D0%98%D0%98_%D0%92%D0%B5%D0%BA%D1%82%D0%BE%D1%80_-_%D0%9D%D0%B0%D1%83%D1%87%D0%BD%D0%BE-%D0%B8%D1%81%D1%81%D0%BB%D0%B5%D0%B4%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D1%81%D0%BA%D0%B8%D0%B9_%D0%B8%D0%BD%D1%81%D1%82%D0%B8%D1%82%D1%83%D1%82)
полный спектр данных, выводом которых занимается Attor, до сих пор не удалось.
Эксперты ESET полагают, что восемь выявленных плагинов для Attor - также лишь
часть его арсенала.

«Совершенно очевидный случай продвинутого кибершпионажа, - считает **Олег**
**Галушкин, генеральный директор компании** [SEC Consult Services. - По всей](https://www.cnews.ru/book/Aros_SEQ_-_SEC_Consult_Services)
видимости, разработкой занималась спецслужба не слишком дружественного РФ
иностранного государства, о чем прямо свидетельствует эффективность
киберкампании и то, что ее в течение нескольких лет не удавалось обнаружить. Однако
конкретная атрибуция в таких случаях - крайне проблемная и, в конечном счете,
неблагодарная вещь».

Обновленная платформа Видеоконференцсвязи от Poly (Polycom) и другие
новинки видео- и аудиокоммуникаций

Роман Георгиев

Поделиться
[Короткая ссылка](https://cnews.ru/link/a500708)


-----