TeamSpy: Deceniju duga operacija sajber špijunaže

Vesti, 21.03.2013, 05:32 AM

TeamSpy: Deceniju duga operacija sajber špijunaže

Mađarska kompanija CrySys Lab objavila je juče izveštaj o deset godina dugoj operaciji sajber špijunaže u kojoj je korišćen popularni legitimni program za daljinsku administraciju TeamViewer, a čije su žrtve značajne ličnosti iz sveta politike i privrede u Evrope.

Grupa koja je nazvana TeamSpy prikupljala je ključeve za enkripciju i dokumente koji su bili označeni kao tajni sa računara žrtava. Među oštećenima se nalazi i jedna amasada u Rusiji države o kojoj je samo otkriveno da je članica i NATO i Evropske unije, jedna kompanija koja se bavi industrijskom proizvodnjom koja se takođe nalazi u Rusiji, nekoliko organizacija koje se bave istraživanjima i obrazovanjem u Francuskoj i Belgiji i jedna kompanija koja posluje u oblasti elektronike i čije je sedište u Iranu. CrySys Lab je započeo istragu o napadima kada su mađarske vlasti objavile da je neimenovani mađarski visoki vladin zvaničnik bio žrtva napada iste grupe.

Malver koji je korišćen u napadima ukazuje da je moguće da je operacija sajber špijunaže trajala godinama i da se njene žrtve možda nalaze i u drugim državama širom sveta. Da slučaj bude zanimljiviji pobrinule su se i tehnike koje su korišćene u napadima koje pokazuju upadljivu sličnost sa lancem bankarskih prevara poznatim pod nazivom Sheldon, a Kaspersky Lab je u svojoj analizi slučaja (pdf) ukazao i na sličnosti sa jednom drugom operacijom sajber špijunaže, koja je poznata pod nazivom Red October i koju je otkrio Kaspersky Lab. Šta vise, u CrySys Lab smatraju da je moguće da iza ovih napada stoje isti napadači.

Napadači su koristili različite metode napada, uključujući i digitalno potpisanu verziju TeamViewer-a koja je izmenjena tehnikom poznatom pod nazivom “DLL hijacking”, da bi špijunirali žrtve u realnom vremenu. Instalacija kompromitovanog programa obezbedila je napadačima backdoor za instalaciju ažuriranja i novih dodatnih malvera. TeamSpy se vise oslanjao na tradicionalne malver alate nego na one koji se specijalno razvijaju za potrebe špijunaže ili bankarskih prevara.

Prema analizi Kaspersky Lab-a, TeamSpy je koristio “watering hole” napade sa malverom na sajtovima koje često posećuju odabrane žrtve. Kada bi žrtva posetila takav sajt, računar bi bio zaražen. Napadači su ubacivali malver i u oglasne mreže koje pokrivaju ceo region. U mnogim slučajevima je korišćen poznati Eleonore exploit kit. Domeni koji su korišćeni kao serveri za komandu i kontrolu koji su komunicirali sa zaraženim računarima su politnews.org, bannetwork.org, planetanews.org i drugi.

Otkriće ove sajber špijunske operacije samo je jedno u nizu sličnih što govori da se malveri sve češće koriste za krađu poverljivih podataka od odabranih žrtava. Najpoznatija takva operacija je ona sa malverom Flame, kao i one sa malverima Duqu i Gauss.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje

ClickFix postao najčešći način isporuke malvera

ClickFix postao najčešći način isporuke malvera

Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje

WhatsApp uvodi korisnička imena

WhatsApp uvodi korisnička imena

Kompanija Meta saopštila je da korisnici WhatsApp-a od ove nedelje mogu da rezervišu korisničko ime koje će moći da koriste kada nova funkcija po... Dalje

Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika

Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika

Istraživači upozoravaju na novu phishing kampanju u kojoj napadači koriste zlonamernu Chrome ekstenziju kako bi preuzeli kontrolu nad Windows raču... Dalje