Kaspersky Lab publiziert Report über „TeamSpy“, einer derzeit aktiven Operation zu Cyberüberwachung- und Datendiebstahl

Kaspersky Lab publiziert Report über „TeamSpy“, einer derzeit aktiven Operation zu Cyberüberwachung- und Datendiebstahl

22. März 2013
Viren-News

Kaspersky Lab veröffentlicht einen Report über TeamSpy [1], einer aktiven Cyberüberwachungskampagne, die es auf hochrangige Ziele aus Politik und Aktivisten der Menschenrechtsbewegung abgesehen hat. Die Opfer sitzen in Osteuropa und im so genannten Commonwealth of Independent States, also Staaten der früheren Sowjetunion. Weitere Ziele waren Geheimdienste sowie die Energie- und Schwerindustrie.

Informationen zur TeamSpy-Kampagne wurde heute bereits vom Laboratory of Cryptography and System Security (CrySyS Lab) sowie der ungarischen Regierung veröffentlicht. CrySyS Lab hat dazu auch eine eigene Analyse herausgegeben [2].

Der Kaspersky-Report zeigt, dass die TeamSpy-Malware für kontinuierliche Cyberüberwachungen ausgelegt ist. Ziel ist es, sensible Daten und geopolitische Informationen zu stehlen.

Der detaillierte Kaspersky-Report [3] umfasst die folgenden Erkenntnisse:

  • TeamSpy ist eine derzeit aktive Operation und eine große Gefahr für Nachrichtendienste auf der ganzen Welt – vor allem in den ehemaligen Sowjetstaaten und in Osteuropa.
  • Die Kaspersky-Experten identifizierten die ersten Spuren von TeamSpy bereits im April 2012, nachdem zahlreiche hochrangige weißrussische Politiker und soziale Aktivisten öffentlich gemacht hatten, dass ihr System mit einem Cyberspionage-Schadprogramm infiziert worden sei. Weitere Analysen der Command & Control (C&C)-Infrastruktur von TeamSpy haben ergeben, dass einer der Domain-Namen bereits im Jahr 2004 registriert wurde. Dies deutet darauf hin, dass die TeamSpy-Operation schon seit fast zehn Jahren aktiv sein könnte.
  • Die TeamSpy-Hintermänner steuern die Malware aus der Ferne. Das Schadprogramm läuft auf den Computern der Opfer, indem die Applikation TeamViewer (teamviewer.exe) genutzt wird. Dabei handelt es sich um ein Programm, das mit legitimen digitalen Zertifikaten versehen ist. Über TeamViewer sind die Angreifer in der Lage, vielfältige Datendiebstahl-Operationen auf den infizierten Rechnern durchzuführen. Folgende sensible Daten und Informationen wurden bei der TeamSpy-Operation ausspioniert:
    • vertrauliche und wichtige Office-Dokumente und PDF-Dateien
    • Verschlüsselungscodes (Private Keys) und Passwörter, die für den Zugang sensibler Informationen genutzt wurden
    • Daten der Apple iOS-Gerätehistorie von iTunes
    • detaillierte Systemkonfigurationen, inklusive Betriebssystem- und BIOS-Informationen
    • aufgezeichnete Tastaturanschläge, Screenshots und Festplattenabbilder

Ein Kaspersky-Blogbeitrag über TeamSpy inklusive FAQs ist unter http://www.securelist.com/en/blog/208194185/The_TeamSpy_Crew_Attacks_Abusing_TeamViewer_for_Cyberespionage verfügbar.

Ein detaillierter technischer Report von Kaspersky Lab über TeamSpy ist unter http://www.securelist.com/en/downloads/vlpdfs/theteamspystory_final_t2.pdf abrufbar.


[1] http://www.securelist.com/en/blog/208194185/The_TeamSpy_Crew_Attacks_Abusing_TeamViewer_for_Cyberespionage

[2] http://blog.crysys.hu/

[3] http://www.securelist.com/en/downloads/vlpdfs/theteamspystory_final_t2.pdf

 Share this page