Открыта шпионская сеть TeamSpy

Тема в разделе "Новости и статьи IT безопасности", создана пользователем Rafail, 3 апр 2013.

↑ ↓
  1. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Венгерская компания CrySyS Lab обнародовала результаты своего расследования, в котором раскрыла долговременную шпионскую операцию, в которой использовался популярный инструмент удаленного доступа к рабочим столам TeamViewer и уникальный вирус.

    Целью атаки TeamSpy стали многие крупные фигуры из мира политики и бизнеса в Восточной Европе.

    Авторы исследования присвоили группе операторов вируса кодовое наименование «TeamSpy». Вирус собирал ключи шифрования и документы с грифом «Секретно» на компьютерах многих высокопоставленных лиц. Среди целей вируса оказалось посольство России в одной из стран, принадлежащих НАТО и Евросоюзу (конкретное государство не указывается). Кроме того, в числе жертв есть крупное производственное предприятие в России, несколько научных и образовательных учреждений из Франции и Бельгии, а также компания по производству электроники из Ирана. Компания CrySyS узнала об атаках, когда Управление национальной безопасности Венгрии рассказало о том, что жертвой вируса TeamSpy стал некий неназванный «высокопоставленный государственный чиновник».

    Технологии атак, которые используются шпионской сетью TeamSpy, по мнению авторов, с большой вероятностью свидетельствуют, что эта операция длится уже много лет. Кроме того, есть признаки того, что жертвами вируса могли оказаться и другие крупные фигуры во множестве стран мира. Дополнительную интригу расследованию придает тот факт, что приемы, использованные в этих атаках, сильно напоминают технологии мошенничества с банковскими счетами через вирус, известный под названием «Sheldon». Более того, независимый анализ специалистов из «Лаборатории Касперского» обнаружил сходство со шпионской сетью «Red October», раскрытой в прошлом году.

    По словам экспертов из CrySyS, за атаками этого класса, которые возникают уже не менее 10 лет, с большой вероятностью стоят одни и те же люди, поскольку прослеживается четкая связь между примерами используемого кода в разные годы в разных шпионских сетях. Кроме того, во второй половине 2012 г. интенсивность этих атак вновь резко увеличилась.

    Исследователи особо подчеркивают, что киберпреступники нацеливаются именно на крупных лиц в бизнесе и политике. Основанием для такого заключения служат сразу несколько фактов, включая IP-адреса жертв, известные действия преступников на некоторых взломанных машинах, трассировка атак, имена файлов, которые использовались в операциях по краже информации, странный полувоенный язык в некоторых структурах кода (буквально «Obshie manevri. Ispolzovat’ tolko s razreshenija S-a», что является транслитной записью фразы «Общие маневры. Использовать только с разрешения С-а.») и другие.

    Атака TeamSpy сочетает в себе сразу несколько методов, включая использование пакета TeamViewer с действительной электронной подписью, правда в продукт были внесены некоторые модификации с помощью приема, известного как «DLL hijacking» («кража DLL») — именно эти модификации позволяют преступникам следить за своими жертвами в реальном масштабе времени. Установка этой взломанной программы также открывает «черный ход» в компьютере жертвы для установки обновлений к вирусу и дополнительных вредоносных программ. Сочетание модулей TeamViewer и серверов управления практически повторяет конструкцию ранее вскрытой мошеннической системы Sheldon. Кроме того, в системе TeamSpy используются и более традиционные вирусные инструменты, написанные специально для шпионажа и манипуляций с банковскими счетами.

    По данным «Лаборатории Касперского», операторы вирусной системы TeamSpy заражали компьютеры пострадавших с помощью серии атак по принципу «водопой в засуху», когда вирусы размещаются на веб-сайтах, часто посещаемых будущими жертвами. Как только жертва посетит такой «заминированный» сайт, происходит заражение. Кроме того, преступники внедряли вирус в рекламные сети для охвата целых регионов. Во многих случаях основная часть вирусного кода, которая использовалась для заражения, была заимствована из известного набора эксплойтов Eleonore. Серверы управления и контроля, на которые передавались похищенные данные, размещались в таких доменах, как politnews.org, bannetwork.org, planetanews.org, bulbanews.org и r2bnetwork.org.

    Открытие шпионской сети TeamSpy стало самым новым проявлением международной шпионской операции, в которой вирусы используются для похищения данных у высокопоставленных лиц. Самой известной шпионской сетью из этой серии стала сетьFlame. Также немалую известность получили вирусные сети Gauss и Duqu. Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами. Кстати, открытая в прошлом году шпионская сеть Mahdi тоже относится к этому классу атак.
    (информация взята из источника comss.ru)
     
    • Мне нравится Мне нравится x 5
  2. Peek-a-boo ?!
    Peek-a-boo
    Ответить в чате

    Форумчанин

    Регистрация:
    18.11.2012
    Сообщения:
    895
    Симпатии:
    3.187
    Пол:
    Мужской
    Репа:
    +3.188 / 0 / -0
    "Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами." Интересно что за государство?Отдыхай!!!
     
    • Мне нравится Мне нравится x 6
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Мне другое интересней, у каждой серьёзной организации и тем-более на засекреченных военных объектах, есть служба безопасности, и что эти спецы не знают что такое разделение сетей ?sm3888

    Как так получилось, что из инета притащили вирус ? Есть ещё такая вещь как беккап, там либо полные долбоёбы сидят, которые ничего не делают, либо СБ сами запустили этот вирус, либо вся эта история с вируснёй очередной рекламный фейк, другова объяснения лично я не вижу !wacko88
     
    • Мне нравится Мне нравится x 8
  4. Анотольевич Пользователь
    Анотольевич
    Ответить в чате

    Первый уровень

    Регистрация:
    12.09.2013
    Сообщения:
    65
    Симпатии:
    143
    Пол:
    Мужской
    Репа:
    +143 / 0 / -0
    Нах бек ап если вирус крадет файлы и все он же не убивает систему!
     
    • Мне нравится Мне нравится x 2
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Если разделить корпоративную сеть и Интернет, то как вирус что-то украдёт ?Не въехал!!!

    А если ещё дублировать инфу в бумажном варианте, то и вероятность потери сведётся к нулю...

    Правда всегда архив с секретной инфой можно вынести, но это уже человеческий фактор !Отдыхай!!!
     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей