TeamSpy: Deceniju duga operacija sajber špijunaže

Vesti, 21.03.2013, 05:32 AM

TeamSpy: Deceniju duga operacija sajber špijunaže

Mađarska kompanija CrySys Lab objavila je juče izveštaj o deset godina dugoj operaciji sajber špijunaže u kojoj je korišćen popularni legitimni program za daljinsku administraciju TeamViewer, a čije su žrtve značajne ličnosti iz sveta politike i privrede u Evrope.

Grupa koja je nazvana TeamSpy prikupljala je ključeve za enkripciju i dokumente koji su bili označeni kao tajni sa računara žrtava. Među oštećenima se nalazi i jedna amasada u Rusiji države o kojoj je samo otkriveno da je članica i NATO i Evropske unije, jedna kompanija koja se bavi industrijskom proizvodnjom koja se takođe nalazi u Rusiji, nekoliko organizacija koje se bave istraživanjima i obrazovanjem u Francuskoj i Belgiji i jedna kompanija koja posluje u oblasti elektronike i čije je sedište u Iranu. CrySys Lab je započeo istragu o napadima kada su mađarske vlasti objavile da je neimenovani mađarski visoki vladin zvaničnik bio žrtva napada iste grupe.

Malver koji je korišćen u napadima ukazuje da je moguće da je operacija sajber špijunaže trajala godinama i da se njene žrtve možda nalaze i u drugim državama širom sveta. Da slučaj bude zanimljiviji pobrinule su se i tehnike koje su korišćene u napadima koje pokazuju upadljivu sličnost sa lancem bankarskih prevara poznatim pod nazivom Sheldon, a Kaspersky Lab je u svojoj analizi slučaja (pdf) ukazao i na sličnosti sa jednom drugom operacijom sajber špijunaže, koja je poznata pod nazivom Red October i koju je otkrio Kaspersky Lab. Šta vise, u CrySys Lab smatraju da je moguće da iza ovih napada stoje isti napadači.

Napadači su koristili različite metode napada, uključujući i digitalno potpisanu verziju TeamViewer-a koja je izmenjena tehnikom poznatom pod nazivom “DLL hijacking”, da bi špijunirali žrtve u realnom vremenu. Instalacija kompromitovanog programa obezbedila je napadačima backdoor za instalaciju ažuriranja i novih dodatnih malvera. TeamSpy se vise oslanjao na tradicionalne malver alate nego na one koji se specijalno razvijaju za potrebe špijunaže ili bankarskih prevara.

Prema analizi Kaspersky Lab-a, TeamSpy je koristio “watering hole” napade sa malverom na sajtovima koje često posećuju odabrane žrtve. Kada bi žrtva posetila takav sajt, računar bi bio zaražen. Napadači su ubacivali malver i u oglasne mreže koje pokrivaju ceo region. U mnogim slučajevima je korišćen poznati Eleonore exploit kit. Domeni koji su korišćeni kao serveri za komandu i kontrolu koji su komunicirali sa zaraženim računarima su politnews.org, bannetwork.org, planetanews.org i drugi.

Otkriće ove sajber špijunske operacije samo je jedno u nizu sličnih što govori da se malveri sve češće koriste za krađu poverljivih podataka od odabranih žrtava. Najpoznatija takva operacija je ona sa malverom Flame, kao i one sa malverima Duqu i Gauss.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Evropski diskontni maloprodajni lanac Pepco Group koji posluje u 21 zemlji, prijavio je fišing napad u svom ogranku u Mađarskoj, koji je rezultirao ... Dalje

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Prevaranti ciljaju korisnike popularnih provajdera usluga u vezi putovanja malverom Agent Tesla, šaljući im mejlove u ime sajtova kao što je Bookin... Dalje

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Nekoliko dana nakon što je globalna policijska akcija desetkovala njihovu infrastrukturu, zloglasna ransomware grupa LockBit se ponovo se pojavila. &... Dalje

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple je objavio da uvodi u iMessage novi post-kvantni kriptografski protokol pod nazivom PQ3, dizajniran da brani šifrovanje od kvantnih napada. iMe... Dalje

Avast kažnjen sa 16,5 miliona dolara zbog prodaje podataka o pretraživanju korisnika

Avast kažnjen sa 16,5 miliona dolara zbog prodaje podataka o pretraživanju korisnika

Američka Federalna trgovinska komisija (FTC) kaznila je Avast kaznom od 16,5 miliona dolara zbog prodaje podataka o pretraživanju korisnika oglašiv... Dalje