TeamSpy: Deceniju duga operacija sajber špijunaže

Vesti, 21.03.2013, 05:32 AM

Mađarska kompanija CrySys Lab objavila je juče izveštaj o deset godina dugoj operaciji sajber špijunaže u kojoj je korišćen popularni legitimni program za daljinsku administraciju TeamViewer, a čije su žrtve značajne ličnosti iz sveta politike i privrede u Evrope.

Grupa koja je nazvana TeamSpy prikupljala je ključeve za enkripciju i dokumente koji su bili označeni kao tajni sa računara žrtava. Među oštećenima se nalazi i jedna amasada u Rusiji države o kojoj je samo otkriveno da je članica i NATO i Evropske unije, jedna kompanija koja se bavi industrijskom proizvodnjom koja se takođe nalazi u Rusiji, nekoliko organizacija koje se bave istraživanjima i obrazovanjem u Francuskoj i Belgiji i jedna kompanija koja posluje u oblasti elektronike i čije je sedište u Iranu. CrySys Lab je započeo istragu o napadima kada su mađarske vlasti objavile da je neimenovani mađarski visoki vladin zvaničnik bio žrtva napada iste grupe.

Malver koji je korišćen u napadima ukazuje da je moguće da je operacija sajber špijunaže trajala godinama i da se njene žrtve možda nalaze i u drugim državama širom sveta. Da slučaj bude zanimljiviji pobrinule su se i tehnike koje su korišćene u napadima koje pokazuju upadljivu sličnost sa lancem bankarskih prevara poznatim pod nazivom Sheldon, a Kaspersky Lab je u svojoj analizi slučaja (pdf) ukazao i na sličnosti sa jednom drugom operacijom sajber špijunaže, koja je poznata pod nazivom Red October i koju je otkrio Kaspersky Lab. Šta vise, u CrySys Lab smatraju da je moguće da iza ovih napada stoje isti napadači.

Napadači su koristili različite metode napada, uključujući i digitalno potpisanu verziju TeamViewer-a koja je izmenjena tehnikom poznatom pod nazivom “DLL hijacking”, da bi špijunirali žrtve u realnom vremenu. Instalacija kompromitovanog programa obezbedila je napadačima backdoor za instalaciju ažuriranja i novih dodatnih malvera. TeamSpy se vise oslanjao na tradicionalne malver alate nego na one koji se specijalno razvijaju za potrebe špijunaže ili bankarskih prevara.

Prema analizi Kaspersky Lab-a, TeamSpy je koristio “watering hole” napade sa malverom na sajtovima koje često posećuju odabrane žrtve. Kada bi žrtva posetila takav sajt, računar bi bio zaražen. Napadači su ubacivali malver i u oglasne mreže koje pokrivaju ceo region. U mnogim slučajevima je korišćen poznati Eleonore exploit kit. Domeni koji su korišćeni kao serveri za komandu i kontrolu koji su komunicirali sa zaraženim računarima su politnews.org, bannetwork.org, planetanews.org i drugi.

Otkriće ove sajber špijunske operacije samo je jedno u nizu sličnih što govori da se malveri sve češće koriste za krađu poverljivih podataka od odabranih žrtava. Najpoznatija takva operacija je ona sa malverom Flame, kao i one sa malverima Duqu i Gauss.