Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Załoga "TeamSpy" atakuje - TeamViewer wykorzystywany do cyberszpiegostwa

Dodany 24 kwietnia 2013, 15:35 CEST
Tagi:

Dnia 20 marca 2013 r. laboratorium CrySyS Lab, wraz z węgierskim Urzędem Bezpieczeństwa Narodowego (NBF), opublikowałodoniesienia o ataku ukierunkowanym na wysokiej rangi cele na Węgrzech. Szczegóły dotyczące dokładnych celów ataków nie są znane, a sam incydent pozostaje tajny. Biorąc pod uwagę konsekwencje takiego ataku, Globalny Zespół ds. Badań i Analiz z Kaspersky Lab (GReAT) przeprowadził techniczną analizę trwającej kampanii i związanych z nią próbek złośliwego oprogramowania. Krótki FAQ dotyczący ataku na węgierskie cele znajduje się poniżej. Na końcu tego artykułu znajduje się również odnośnik do pełnego raportu z naszej analizy (raport dostępny jest w języku angielskim).

Czym jest ta kampania?

„TeamSpy” to operacja cyberszpiegowska skierowana na wysokiej rangi cele obejmujące działaczy politycznych i obrońców praw człowieka z krajów Wspólnoty Niepodległych Państw i narodów Europy Wschodniej. Wśród ofiar znajdują się zarówno członkowie agencji rządowych, jak i pracownicy prywatnych firm. Ataki trwają od prawie dekady, a wzmianka o nich pojawiła się w roku 2012 w publikacji aktywistów białoruskich.

Dlaczego kampania nazywa się „TeamSpy”?

Napastnicy zdalnie kontrolują komputery ofiar za pomocą legalnego narzędzia zdalnej administracji, zwanego TeamViewer. Aplikacja jest podpisana legalnymi certyfikatami cyfrowymi i jest używana przez ponad 100 milionów użytkowników na całym świecie. Aby uniknąć powiadamiania użytkownika, że ​​ktoś go szpieguje, napastnicy dynamicznie patchują TeamViewera w pamięci, aby usunąć wszelkie ślady jego aktywności.

Co robi szkodliwe oprogramowanie?

Jest to operacja nadzorcza / rozpoznawcza, skoncentrowana na kradzieży danych. Kradzione dane obejmują:

  • „Sekretną" zawartość, tajne / prywatne klucze szyfrujące, hasła.
  • Historię urządzeń Apple z systemem iOS (informacje te są wykradane z aplikacji iTunes).
  • Szczegółowe informacje o systemie operacyjnym i BIOS-ie.
  • Dzienniki i zrzuty ekranu zapisywane przez keyloggery.

Co dokładnie zostało skradzione?

Napastników interesują dokumenty i pliki biurowe (np. *.doc, *.rtf, *.xls, *.mdb), pliki PDF (*.pdf), obrazy dysku (np. *.tc, *.vmdk), jak również pliki, które potencjalnie mogą zawierać bardzo poufne informacje, takie jak klucze szyfrujące (np. *.pgp, *.p12) i hasła (np. *pass*, *secret*, *saidumlo*, *Секрет* i *парол*).

Co znaczy „saidumlo”?

„Saidumlo” to po gruzińsku „sekret”. „Секрет” to rosyjski „sekret”, natomiast „парол” oznacza „hasło”.

W jaki sposób organizacje mogą ochronić się przed tym szczególnym atakiem?

  • Przeskanować maszyny w poszukiwaniu procesu „teamviewer.exe”.
  • Zablokować dostęp do witryn centrum kontroli i adresów IP (domeny i adresy IP znajdują się w naszym raporcie z analizy).
  • Wdrożyć w całej organizacji politykę centralnego zarządzania poprawkami i aplikacjami na komputerach użytkowników. Operacja „TeamSpy” uwzględnia wykorzystanie popularnych zestawów exploiów, które biorą za cel znane podatności w aplikacjach i systemach operacyjnych.

Więcej szczegółów znajduje się w naszym raporcie z analizy ataków „TeamSpy”. Raport dostępny jest w języku angielskim.