• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Открыта шпионская сеть TeamSpy

  • Автор темы Rafail
  • Дата начала

R

Rafail

Гость
Венгерская компания CrySyS Lab обнародовала результаты своего расследования, в котором раскрыла долговременную шпионскую операцию, в которой использовался популярный инструмент удаленного доступа к рабочим столам TeamViewer и уникальный вирус.

Целью атаки TeamSpy стали многие крупные фигуры из мира политики и бизнеса в Восточной Европе.

Авторы исследования присвоили группе операторов вируса кодовое наименование «TeamSpy». Вирус собирал ключи шифрования и документы с грифом «Секретно» на компьютерах многих высокопоставленных лиц. Среди целей вируса оказалось посольство России в одной из стран, принадлежащих НАТО и Евросоюзу (конкретное государство не указывается). Кроме того, в числе жертв есть крупное производственное предприятие в России, несколько научных и образовательных учреждений из Франции и Бельгии, а также компания по производству электроники из Ирана. Компания CrySyS узнала об атаках, когда Управление национальной безопасности Венгрии рассказало о том, что жертвой вируса TeamSpy стал некий неназванный «высокопоставленный государственный чиновник».

Технологии атак, которые используются шпионской сетью TeamSpy, по мнению авторов, с большой вероятностью свидетельствуют, что эта операция длится уже много лет. Кроме того, есть признаки того, что жертвами вируса могли оказаться и другие крупные фигуры во множестве стран мира. Дополнительную интригу расследованию придает тот факт, что приемы, использованные в этих атаках, сильно напоминают технологии мошенничества с банковскими счетами через вирус, известный под названием «Sheldon». Более того, независимый анализ специалистов из «Лаборатории Касперского» обнаружил сходство со шпионской сетью , раскрытой в прошлом году.

По словам экспертов из CrySyS, за атаками этого класса, которые возникают уже не менее 10 лет, с большой вероятностью стоят одни и те же люди, поскольку прослеживается четкая связь между примерами используемого кода в разные годы в разных шпионских сетях. Кроме того, во второй половине 2012 г. интенсивность этих атак вновь резко увеличилась.

Исследователи особо подчеркивают, что киберпреступники нацеливаются именно на крупных лиц в бизнесе и политике. Основанием для такого заключения служат сразу несколько фактов, включая IP-адреса жертв, известные действия преступников на некоторых взломанных машинах, трассировка атак, имена файлов, которые использовались в операциях по краже информации, странный полувоенный язык в некоторых структурах кода (буквально «Obshie manevri. Ispolzovat’ tolko s razreshenija S-a», что является транслитной записью фразы «Общие маневры. Использовать только с разрешения С-а.») и другие.

Атака TeamSpy сочетает в себе сразу несколько методов, включая использование пакета TeamViewer с действительной электронной подписью, правда в продукт были внесены некоторые модификации с помощью приема, известного как «DLL hijacking» («кража DLL») — именно эти модификации позволяют преступникам следить за своими жертвами в реальном масштабе времени. Установка этой взломанной программы также открывает «черный ход» в компьютере жертвы для установки обновлений к вирусу и дополнительных вредоносных программ. Сочетание модулей TeamViewer и серверов управления практически повторяет конструкцию ранее вскрытой мошеннической системы Sheldon. Кроме того, в системе TeamSpy используются и более традиционные вирусные инструменты, написанные специально для шпионажа и манипуляций с банковскими счетами.

По данным «Лаборатории Касперского», операторы вирусной системы TeamSpy заражали компьютеры пострадавших с помощью серии атак по принципу «водопой в засуху», когда вирусы размещаются на веб-сайтах, часто посещаемых будущими жертвами. Как только жертва посетит такой «заминированный» сайт, происходит заражение. Кроме того, преступники внедряли вирус в рекламные сети для охвата целых регионов. Во многих случаях основная часть вирусного кода, которая использовалась для заражения, была заимствована из известного набора эксплойтов Eleonore. Серверы управления и контроля, на которые передавались похищенные данные, размещались в таких доменах, как politnews.org, bannetwork.org, planetanews.org, bulbanews.org и r2bnetwork.org.

Открытие шпионской сети TeamSpy стало самым новым проявлением международной шпионской операции, в которой вирусы используются для похищения данных у высокопоставленных лиц. Самой известной шпионской сетью из этой серии стала сеть . Также немалую известность получили вирусные сети Gauss и Duqu. Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами. Кстати, открытая в прошлом году шпионская сеть Mahdi тоже относится к этому классу атак.
(информация взята из источника comss.ru)
 

Peek-a-boo

?!
Форумчанин
Регистрация
18.11.2012
Сообщения
523
Репутация
143
"Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами." Интересно что за государство?Отдыхай!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
"Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами." Интересно что за государство?Отдыхай!!!
Мне другое интересней, у каждой серьёзной организации и тем-более на засекреченных военных объектах, есть служба безопасности, и что эти спецы не знают что такое разделение сетей ?sm3888

Как так получилось, что из инета притащили вирус ? Есть ещё такая вещь как беккап, там либо полные долбоёбы сидят, которые ничего не делают, либо СБ сами запустили этот вирус, либо вся эта история с вируснёй очередной рекламный фейк, другова объяснения лично я не вижу !wacko88
 
А

Анотольевич

Гость
Мне другое интересней, у каждой серьёзной организации и тем-более на засекреченных военных объектах, есть служба безопасности, и что эти спецы не знают что такое разделение сетей ?sm3888

Как так получилось, что из инета притащили вирус ? Есть ещё такая вещь как беккап, там либо полные долбоёбы сидят, которые ничего не делают, либо СБ сами запустили этот вирус, либо вся эта история с вируснёй очередной рекламный фейк, другова объяснения лично я не вижу !wacko88
Нах бек ап если вирус крадет файлы и все он же не убивает систему!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Нах бек ап если вирус крадет файлы и все он же не убивает систему!
Если разделить корпоративную сеть и Интернет, то как вирус что-то украдёт ?Не въехал!!!

А если ещё дублировать инфу в бумажном варианте, то и вероятность потери сведётся к нулю...

Правда всегда архив с секретной инфой можно вынести, но это уже человеческий фактор !Отдыхай!!!
 
Верх Низ