„TeamSpy” – aktywna operacja cyberinwigilacji i kradzieży danych

21 marca, 2013

Kaspersky Lab informuje o opublikowaniu wyników analizy TeamSpy, aktywnej kampanii z użyciem szkodliwego oprogramowania służącego do cyberinwigilacji, której celem są wysoko postawieni aktywiści polityczni i działający na rzecz praw człowieka z Europy Wschodniej i krajów należących do Wspólnoty Niepodległych Państw. Wśród ofiar znajdują się również agencje informacyjne oraz producenci z branży energetyki i przemysłu ciężkiego.

O kampanii TeamSpy poinformowało po raz pierwszy dzisiejszego dnia Laboratorium Kryptografii i Bezpieczeństwa Systemów (CrySyS Lab) oraz węgierski rząd. CrySys Lab opublikował własną analizę badawczą kampanii.

Według raportu Kaspersky Lab celem szkodnika TeamSpy jest przeprowadzanie cyberinwigilacji swoich ofiar oraz kradzież poufnych danych i informacji wykorzystywanych do geopolitycznego rekonesansu.

Podsumowanie wyników badania Kaspersky Lab

  • TeamSpy jest aktywną kampanią i stanowi znaczące zagrożenie dla agencji wywiadowczych na całym świecie, zwłaszcza w byłych republikach Związku Radzieckiego i państw w Europie Wschodniej.
  • Eksperci z Kaspersky Lab po raz pierwszy zidentyfikowali ślady operacji TeamSpy w kwietniu 2012 roku, po tym jak wiele znanych białoruskich aktywistów politycznych i społecznych publicznie poinformowało, że ich systemy zostały zainfekowane cyberszpiegowskim szkodliwym oprogramowaniem. Jednak dalsza analiza infrastruktury kontroli TeamSpy’a ujawniła, że jedna z nazw domen została zarejestrowana w 2004 roku, co świadczy o tym, że operacja TeamSpy mogła być prowadzona przez niemal dekadę.
  • Osoby stojące za operacją TeamSpy zdalnie kontrolują szkodliwe oprogramowanie działające na komputerach ofiary poprzez wykorzystywanie aplikacji TeamViewer (teamviewer.exe), która jest podpisana legalnymi certyfikatami cyfrowymi. Przy pomocy TeamViewer osoby atakujące mogą wykonywać wiele operacji kradzieży danych na zainfekowanych maszynach.

Rodzaje poufnych danych lub informacji wyprowadzanych z zainfekowanych TeamSpy’em komputerów ofiar obejmują:

  • Poufne lub ważne dokumenty biurowe oraz pliki PDF;
  • Prywatne klucze kryptograficzne oraz hasła wykorzystywane do uzyskiwania dostępu do poufnych informacji;
  • Dane dotyczące urządzeń Apple z systemem iOS podłączanych do szpiegowanych komputerów (dane te są wykradane z aplikacji iTunes);
  • Szczegółowe konfiguracje systemu, łącznie z informacjami dotyczącymi systemów operacyjnych i BIOS-ów;
  • Znaki wprowadzane z klawiatury, zrzuty ekranu oraz obrazy dysków.

klp infekcje teamspy marzec 2013 big

Więcej informacji dotyczących kampanii TeamSpy znajduje się w Encyklopedii Wirusów ViruList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=864.

Pełny raport analityczny, przygotowany przez Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab, jest dostępny w języku angielskim na stronie:http://www.securelist.com/en/downloads/vlpdfs/theteamspystory_final_t2.pdf.

Informację oraz raport można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]