Teamspy — десять лет кибершпионажа

На днях венгерская лаборатория CrySyS Lab (Лаборатория криптографии и системной безопасности) совместно с Управлением национальной безопасности Венгрии (NBF) опубликовала отчет о целевой атаке против Венгрии. Данные по конкретным целям атаки не сообщаются.

Учитывая возможные последствия подобной атаки, Глобальный центр исследований «Лаборатории Касперского» выполнил технический анализ кампании и связанных с ней образцов вредоносного ПО.

Ниже представлен короткий перечень ответов на часто задаваемые вопросы. Вы можете также загрузить документ, в котором представлены данные выполненного нами технического анализа. Ссылка на него дана в конце этой заметки.

Что это такое?

«TeamSpy» — это операция в области кибершпионажа, целями которой являются политические деятели и правозащитники высокого уровня на всей территории СНГ и восточноевропейских стран. В число жертв также входят государственные организации и частные компании. Атаки продолжаются уже почти десять лет. В частности, о них в 2012 году писали белорусские активисты.

Почему было выбрано название TeamSpy?

Злоумышленники удаленно управляют компьютерами жертв, используя легитимное средство удаленного управления TeamViewer. Это приложение, подписанное действительными цифровыми сертификатами, использует более 100 миллионов пользователей по всему миру. Чтобы не позволить пользователю обнаружить слежку, злоумышленники динамически изменяют код TeamViewer в оперативной памяти, чтобы скрыть все признаки своего присутствия в системе.

Какие действия выполняет вредоносная программа?

Мы имеем дело с операцией, организованной для осуществления кибершпионажа/разведки и кражи данных. В ее рамках осуществляется кража, в частности, следующих данных:

— «Секретных» данных, секретных/частных ключей от шифров, паролей.

— Данных по истории операций на устройствах под управлением Apple iOS, получаемых из iTunes.

— Подробных данных об операционной системе и BIOS.

— Данных о нажатых клавишах и снимков экрана.

Какие именно данные крадут злоумышленники?

Злоумышленников интересуют офисные документы и файлы (например, *.doc, *.rtf, *.xls, *.mdb), pdf-файлы (*.pdf), образы дисков (например, *.tc, *.vmdk), а также файлы, которые потенциально могут содержать конфиденциальную информацию, такую как криптоключи (например,*. pgp, *.p12) и пароли (например, *pass*, *secret*, *saidumlo*, *секрет*.* и *парол*.*).

Что означает «saidumlo»?

Это грузинское слово, означающее «секрет». «Секрет» и «парол» (неизменяемая часть слова пароль) русскоязычные читатели поймут без перевода.

Более подробные сведения вы найдете в нашем анализе атак TeamSpy.

Источник: securelist.com

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s