A TeamSpy nevű kártevőt arra tervezték, hogy többek közt magyar kormányzati rendszerekből legyen képes adatokat és jelszavakat lopni. De a kérdés továbbra is az: milyen erők támadják kiberfegyverekkel is Magyarországot? Ez különösen anak tükrében érdekes, hogy Izrael a mai napig nem adott választ arra: Európában miért csak magyar hivatalos szervereket támadtak a az amerikai-izraeli fejlesztésű Flame vírussal.

A kiberfegyver több modul mellett a számítógépek távoli elérésére használatos, egyébként teljesen legitim, ingyenes TeamViewer nevű programot telepítette fel a megfertőzött számítógépekre. Ennek kapcsán keresztelték a BME-n működő CrySys biztonsági labor munkatársai TeamSpy névre a kártevőt. Legutóbb néhány héttel ezelőtt számoltunk be egy hasonló, kormányzati gépeket támadó kártevőről, amely Magyarországon is szerzett áldozatokat, és a Nemzeti Biztonsági Felügyelet észlelte jelenlétét.

A PTA CERT Nemzeti Hálózatbiztonsági központ által kiadott tájékoztatója szerint a TeamSpy által a támadók nem csak fájlokat tölthettek le az áldozat gépéről, de akár meg is figyelhették, hogy mit csinál a gépen. A teljesen legitim, és ezért a vírusirtók által nem is kifogásolt TeamViewer.exe mellett a csomag tartalmazott saját kódot is, ami az irányítószerverekkel való kommunikációért felelt. Az összegyűjtött adatokat a kiberfegyver az internet felé továbbította, irányítását teljesen hétköznapinak tűnő honlapokról – például politnews.org, newslite.org, vagy planetanews.org – végezték. A vizsgálatok szerint a kártevő a magyar rendszerek mellett az Egyesült Államokban, Oroszországban, Nyugat-Európában és egyes afrikai országokban is támadott PC-ket.

A CrySys biztonsági szakértőinek vizsgálatai szerint a kártevő a magyar kormányzati számítógépek mellett egyebek közt a NATO és az Európai Unió , illetve francia és belga kutatóközpontok, orosz ipari létesítmények, illetve kormányzati tulajdonú, közel-keleti elektronikai cégek rendszereiben való kémkedéshez készült. A CrySys elemzése szerint a gépek megfertőzése több hullámban történt, és egyes áldozatul esett PC-ken korábbi vírusfertőzés nyomait is megtalálták a szakemberek. A TeamViewert nem először használták kibertámadásra, korábban egy többmillió dolláros kárt okozó kiberbűntettben már szerephez jutott az ingyenes eszköz.

A PTA CERT tájékoztatója szerint a magyar kiberbiztonsági szakértők hat olyan szervert azonosítottak, amellyel a kártevő kommunikált. A kiberfegyvert a saját kommunikációja buktatta le, a szakértők akkor kezdtek el nyomozni, amikor ismeretlen eredetű, gyanús adat forgalmat észleltek a hálózatokon. Az irányítószervereken több modult is megtaláltak a Hálózatbiztonsági Központ munkatársai. A kiberfegyver képes volt különböző kereséseket végezni a megfertőzött számítógépeken. Az automatikus listázás az Outlook levelezőprogram adatfájljait, dokumentumokat, titkosítókulcsokat, tikosított lemezfájlokat, valamint a fájlnévben orosz kifejezéseket (titkos, jelszó) tartalmazó anyagokat keresett. A kártevő nem csak a megfertőzött számítógépet vizsgálta át, a hálózaton is próbált olyan megosztásokat keresni, ahol további fájlokat találhat.

Az egyes irányítószerverek más-más modulokat tartalmaztak. A Politnews.org címen található gép például képernyőképeket készítő, az Internet Explorer mentett jelszavait egy ingyenes eszközzel lementő és a leütött billentyűket naplózó kódokat is tartalmazott.

origo

Még a mai napig sem tudjuk, hogy az állítólagosan Magyarország nagy barátjának tartott Izrael az európai országok közül egyedüliként miért pont hazánk intézményi szervereit támadta pár hónapja a Flame vírussal. A két évvel ezelőtt megjelent Stuxnet vírus az iráni urándúsító programban okozott súlyos károkat. A nála is kifinomultabb Flame vírus az iráni olajipari minisztérium, illetve a legnagyobb iráni exportterminál számítógépes rendszerét támadta meg. Mindkét vírust az Egyesült Államok és Izrael fejlesztette ki közösen. A Flame Európában egyedüli országként Magyarországot, az Orbán-kormány kormányzati szervereit és más intézmények számítógépes rendszerit támadta. A károkozó eddig sosem látott pusztításra képes, amint bejut a számítógépbe. Amellett, hogy leszívja az adatokat, bármit képes feltelepíteni és akár törölhet is fájlokat. Lefényképezi a képernyőt és bekapcsolhatja a mikrofont is, felvéve a szobában történő beszélgetéseket.

Kostás Roland – Hunhír.info