Атаки TeamSpy Crew — незаконное использование TeamViewer в целях кибершпионажа

На днях венгерская лаборатория CrySyS Lab (Лаборатория криптографии и системной безопасности) совместно с Управлением национальной безопасности Венгрии (NBF) опубликовала подробную информацию о резонасной целевой атаке против Венгрии. Данные по конкретным целям атаки не сообщаются, а подробности инцидента остаются засекреченными.

Учитывая возможные последствия подобной атаки, Глобальный центр исследований «Лаборатории Касперского» выполнил технический анализ кампании и связанных с ней образцов вредоносного ПО.

Ниже представлен короткий перечень ответов на часто задаваемые вопросы. Вы можете также загрузить документ, в котором представлены данные выполненного нами технического анализа. Ссылка на него дана в конце этой заметки.

Что это такое?

«TeamSpy» — это операция в области кибершпионажа, целями которой являются политические деятели и правозащитники высокого уровня на всей территории СНГ и восточноевропейских стран. В число жертв также входят государственные организации и частные компании. Атаки продолжаются уже почти десять лет. В частности, о них в 2012 году писали белорусские активисты.

Почему было выбрано название TeamSpy?

Злоумышленники удаленно управляют компьютерами жертв, используя легитимное средство удаленного управления TeamViewer. Это приложение, подписанное действительными цифровыми сертификатами, использует более 100 миллионов пользователей по всему миру. Чтобы не позволить пользователю обнаружить слежку, злоумышленники динамически изменяют код TeamViewer в оперативной памяти, чтобы скрыть все признаки своего присутствия в системе.

Какие действия выполняет вредоносная программа?

Мы имеем дело с операцией, организованной для осуществления кибершпионажа/разведки и кражи данных. В ее рамках осуществляется кража, в частности, следующих данных:

— «Секретных» данных, секретных/частных ключей от шифров, паролей.

— Данных по истории операций на устройствах под управлением Apple iOS, получаемых из iTunes.

— Подробных данных об операционной системе и BIOS.

— Данных о нажатых клавишах и снимков экрана.

Какие именно данные крадут злоумышленники?

Злоумышленников интересуют офисные документы и файлы (например, *.doc, *.rtf, *.xls, *.mdb), pdf-файлы (*.pdf), образы дисков (например, *.tc, *.vmdk), а также файлы, которые потенциально могут содержать конфиденциальную информацию, такую как криптоключи (например,*. pgp, *.p12) и пароли (например, *pass*, *secret*, *saidumlo*, *секрет*.* и *парол*.*).

Что означает «saidumlo»?

Это грузинское слово, означающее «секрет». «Секрет» и «парол» (неизменяемая часть слова пароль) русскоязычные читатели поймут без перевода.

Как организации могут защититься от данных атак?

1. Проверить компьютер на наличие приложения teamviewer.exe.
2. Заблокировать доступ к известным доменам и IP-адресам, используемым командными серверами злоумышленников (подробности в нашем техническом документе).
3. Реализовать строгую систему патч-мененджмента, охватывающую всю организацию. В рамках данной кампании применяются популярные наборы эксплойтов, использующих известные уязвимости в программном обеспечении, устанавливаемом на рабочих станциях.

Более подробные сведения вы найдете в нашем анализе атак TeamSpy.