TeamSpy: Deceniju duga operacija sajber špijunaže
Vesti, 21.03.2013, 05:32 AM
Mađarska kompanija CrySys Lab objavila je juče izveštaj o deset godina dugoj operaciji sajber špijunaže u kojoj je korišćen popularni legitimni program za daljinsku administraciju TeamViewer, a čije su žrtve značajne ličnosti iz sveta politike i privrede u Evrope.
Grupa koja je nazvana TeamSpy prikupljala je ključeve za enkripciju i dokumente koji su bili označeni kao tajni sa računara žrtava. Među oštećenima se nalazi i jedna amasada u Rusiji države o kojoj je samo otkriveno da je članica i NATO i Evropske unije, jedna kompanija koja se bavi industrijskom proizvodnjom koja se takođe nalazi u Rusiji, nekoliko organizacija koje se bave istraživanjima i obrazovanjem u Francuskoj i Belgiji i jedna kompanija koja posluje u oblasti elektronike i čije je sedište u Iranu. CrySys Lab je započeo istragu o napadima kada su mađarske vlasti objavile da je neimenovani mađarski visoki vladin zvaničnik bio žrtva napada iste grupe.
Malver koji je korišćen u napadima ukazuje da je moguće da je operacija sajber špijunaže trajala godinama i da se njene žrtve možda nalaze i u drugim državama širom sveta. Da slučaj bude zanimljiviji pobrinule su se i tehnike koje su korišćene u napadima koje pokazuju upadljivu sličnost sa lancem bankarskih prevara poznatim pod nazivom Sheldon, a Kaspersky Lab je u svojoj analizi slučaja (pdf) ukazao i na sličnosti sa jednom drugom operacijom sajber špijunaže, koja je poznata pod nazivom Red October i koju je otkrio Kaspersky Lab. Šta vise, u CrySys Lab smatraju da je moguće da iza ovih napada stoje isti napadači.
Napadači su koristili različite metode napada, uključujući i digitalno potpisanu verziju TeamViewer-a koja je izmenjena tehnikom poznatom pod nazivom “DLL hijacking”, da bi špijunirali žrtve u realnom vremenu. Instalacija kompromitovanog programa obezbedila je napadačima backdoor za instalaciju ažuriranja i novih dodatnih malvera. TeamSpy se vise oslanjao na tradicionalne malver alate nego na one koji se specijalno razvijaju za potrebe špijunaže ili bankarskih prevara.
Prema analizi Kaspersky Lab-a, TeamSpy je koristio “watering hole” napade sa malverom na sajtovima koje često posećuju odabrane žrtve. Kada bi žrtva posetila takav sajt, računar bi bio zaražen. Napadači su ubacivali malver i u oglasne mreže koje pokrivaju ceo region. U mnogim slučajevima je korišćen poznati Eleonore exploit kit. Domeni koji su korišćeni kao serveri za komandu i kontrolu koji su komunicirali sa zaraženim računarima su politnews.org, bannetwork.org, planetanews.org i drugi.
Otkriće ove sajber špijunske operacije samo je jedno u nizu sličnih što govori da se malveri sve češće koriste za krađu poverljivih podataka od odabranih žrtava. Najpoznatija takva operacija je ona sa malverom Flame, kao i one sa malverima Duqu i Gauss.
Izdvojeno
Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver
Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje
ClickFix postao najčešći način isporuke malvera
Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje
AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru
Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje
WhatsApp uvodi korisnička imena
Kompanija Meta saopštila je da korisnici WhatsApp-a od ove nedelje mogu da rezervišu korisničko ime koje će moći da koriste kada nova funkcija po... Dalje
Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika
Istraživači upozoravaju na novu phishing kampanju u kojoj napadači koriste zlonamernu Chrome ekstenziju kako bi preuzeli kontrolu nad Windows raču... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





