„TeamSpy” – aktywna operacja cyberinwigilacji i kradzieży danych
Kaspersky Lab opublikował wyniki analizy TeamSpy, aktywnej kampanii z użyciem szkodliwego oprogramowania służącego do cyberinwigilacji. Jej celem są wysoko postawieni aktywiści polityczni i działacze na rzecz praw człowieka z Europy Wschodniej i krajów Wspólnoty Niepodległych Państw. Wśród ofiar znajdują się także agencje informacyjne oraz producenci z branży energetyki i przemysłu ciężkiego.
Według raportu Kaspersky Lab celem szkodnika TeamSpy jest przeprowadzanie cyberinwigilacji swoich ofiar oraz kradzież poufnych danych i informacji wykorzystywanych do geopolitycznego rekonesansu. Dlaczego kampania nazywa się "TeamSpy"? Napastnicy zdalnie kontrolują komputery ofiar za pomocą legalnego narzędzia zdalnej administracji, zwanego TeamViewer. Aplikacja jest podpisana legalnymi certyfikatami cyfrowymi i jest używana przez ponad 100 milionów użytkowników na całym świecie. Aby uniknąć powiadamiania użytkownika, że ktoś go szpieguje, napastnicy dynamicznie patchują TeamViewera w pamięci, aby usunąć wszelkie ślady jego aktywności.
Podsumowanie wyników badania Kaspersky Lab
- Eksperci z Kaspersky Lab po raz pierwszy zidentyfikowali ślady operacji TeamSpy w kwietniu 2012 roku, po tym jak wiele znanych białoruskich aktywistów politycznych i społecznych publicznie poinformowało, że ich systemy zostały zainfekowane cyberszpiegowskim szkodliwym oprogramowaniem. Jednak dalsza analiza infrastruktury kontroli TeamSpy’a ujawniła, że jedna z nazw domen została zarejestrowana w 2004 roku, co świadczy o tym, że operacja TeamSpy mogła być prowadzona przez niemal dekadę,
- Osoby stojące za operacją TeamSpy zdalnie kontrolują szkodliwe oprogramowanie działające na komputerach ofiary poprzez wykorzystywanie aplikacji TeamViewer (teamviewer.exe), która jest podpisana legalnymi certyfikatami cyfrowymi. Przy pomocy TeamViewer osoby atakujące mogą wykonywać wiele operacji kradzieży danych na zainfekowanych maszynach.
Rodzaje poufnych danych lub informacji wyprowadzanych z zainfekowanych TeamSpy’em komputerów ofiar obejmują:
- Poufne lub ważne dokumenty biurowe oraz pliki PDF;
- Prywatne klucze kryptograficzne oraz hasła wykorzystywane do uzyskiwania dostępu do poufnych informacji;
- Dane dotyczące urządzeń Apple z systemem iOS podłączanych do szpiegowanych komputerów (dane te są wykradane z aplikacji iTunes);
- Szczegółowe konfiguracje systemu, łącznie z informacjami dotyczącymi systemów operacyjnych i BIOS-ów;
- Znaki wprowadzane z klawiatury, zrzuty ekranu oraz obrazy dysków.
W jaki sposób organizacje mogą ochronić się przed tym szczególnym atakiem?
- Przeskanować maszyny w poszukiwaniu procesu "teamviewer.exe".
- Zablokować dostęp do witryn centrum kontroli i adresów IP (domeny i adresy IP znajdują się w naszym raporcie z analizy).
- Wdrożyć w całej organizacji politykę centralnego zarządzania poprawkami i aplikacjami na komputerach użytkowników. Operacja "TeamSpy" uwzględnia wykorzystanie popularnych zestawów exploiów, które biorą za cel znane podatności w aplikacjach i systemach operacyjnych.
