A kiberfegyver több modul mellett a számítógépek távoli elérésére használatos, egyébként teljesen legitim, ingyenes TeamViewer nevű programot telepítette fel a megfertőzött számítógépekre. Ennek kapcsán keresztelték a BME-n működő CrySys biztonsági labor munkatársai TeamSpy névre a kártevőt. Legutóbb néhány héttel ezelőtt számoltunk be egy hasonló, kormányzati gépeket támadó kártevőről, amely Magyarországon is szerzett áldozatokat, és a Nemzeti Biztonsági Felügyelet észlelte jelenlétét.
Nem csak fájlokat lophattak, figyelhettek is
A PTA CERT Nemzeti Hálózatbiztonsági központ által kiadott tájékoztatója szerint a TeamSpy által a támadók nem csak fájlokat tölthettek le az áldozat gépéről, de akár meg is figyelhették, hogy mit csinál a gépen. A teljesen legitim, és ezért a vírusirtók által nem is kifogásolt TeamViewer.exe mellett a csomag tartalmazott saját kódot is, ami az irányítószerverekkel való kommunikációért felelt. Az összegyűjtött adatokat a kiberfegyver az internet felé továbbította, irányítását teljesen hétköznapinak tűnő honlapokról - például politnews.org, newslite.org, vagy planetanews.org - végezték. A vizsgálatok szerint a kártevő a magyar rendszerek mellett az Egyesült Államokban, Oroszországban, Nyugat-Európában és egyes afrikai országokban is támadott PC-ket.
Ezekben az országokban támadott a TeamSpy a CrySys szakértői szerint
A CrySys biztonsági szakértőinek vizsgálatai szerint a kártevő a magyar kormányzati számítógépek mellett egyebek közt a NATO és az Európai Unió , illetve francia és belga kutatóközpontok, orosz ipari létesítmények, illetve kormányzati tulajdonú, közel-keleti elektronikai cégek rendszereiben való kémkedéshez készült. A CrySys elemzése szerint a gépek megfertőzése több hullámban történt, és egyes áldozatul esett PC-ken korábbi vírusfertőzés nyomait is megtalálták a szakemberek. A TeamViewert nem először használták kibertámadásra, korábban egy többmillió dolláros kárt okozó kiberbűntettben már szerephez jutott az ingyenes eszköz.
A furcsa forgalom keltett gyanút
A PTA CERT tájékoztatója szerint a magyar kiberbiztonsági szakértők hat olyan szervert azonosítottak, amellyel a kártevő kommunikált. A kiberfegyvert a saját kommunikációja buktatta le, a szakértők akkor kezdtek el nyomozni, amikor ismeretlen eredetű, gyanús adat forgalmat észleltek a hálózatokon. Az irányítószervereken több modult is megtaláltak a Hálózatbiztonsági Központ munkatársai. A kiberfegyver képes volt különböző kereséseket végezni a megfertőzött számítógépeken. Az automatikus listázás az Outlook levelezőprogram adatfájljait, dokumentumokat, titkosítókulcsokat, tikosított lemezfájlokat, valamint a fájlnévben orosz kifejezéseket (titkos, jelszó) tartalmazó anyagokat keresett. A kártevő nem csak a megfertőzött számítógépet vizsgálta át, a hálózaton is próbált olyan megosztásokat keresni, ahol további fájlokat találhat.
Az egyes irányítószerverek más-más modulokat tartalmaztak. A Politnews.org címen található gép például képernyőképeket készítő, az Internet Explorer mentett jelszavait egy ingyenes eszközzel lementő és a leütött billentyűket naplózó kódokat is tartalmazott.