سوء استفاده از TeamViewer

کارشناسان امنیتی یک عملیات جاسوسی سایبری جدید دیگر را شناسایی کرده‌اند که فعالان سیاسی و حقوق بشر، ارگان‌های دولتی، مراکز تحقیقاتی و واحدهای تولیدی را اغلب در کشورهای اروپای شرقی و اتحاد جماهیر شوروی سابق مورد هدف قرار داده است.

به گزارش سافت‌گذر به نقل از فن آوری اطلاعات ایران، گروهی که مسئول این عملیات جاسوسی سایبری جدید هستند از یک ابزار مخرب که به همراه نرم‌افزار مشهور TeamViewer اجرا شده و از امکانات آن سوءاستفاده می‌کند، بهره برده و به همین دلیل نیز نام TeamSpy به این گروه داده شده است. این ابزار مخرب، از قابلیت‌ های TeamViewer برای آلوده کردن قربانی و سرقت اطلاعات سوءاستفاده می‌کند.

مانند بسیاری از عملیات سایبری اخیر، این عملیات جاسوسی جدید نیز توسط محققان مرکز CrySyS Lab وابسته به دانشگاه بوداپست کشور مجارستان کشف و شناسایی شده است. در این تحقیقات شرکت‌ های امنیتی Kaspersky، Symantec و ESET نیز مشارکت داشته‌اند.

مستنداتی که تاکنون به دست آمده، نشان می‌دهد که برخی از نرم‌افزارهای مخرب مرتبط با این عملیات سایبری از سال ۲۰۱۰ میلادی فعال بوده‌اند. بر اساس اطلاعات منتشر شده از سوی مرکز CrySyS Lab، به نظر می‌رسد که کاربران عادی، بخشی از قربانیان این عملیات جاسوسی سایبری بوده ولی در کنار این افراد، برخی مراکز و ارگان‌های مهم و حساس دولتی و سیاسی نیز هدف این عملیات قرار گرفته‌اند.

مرکز CrySyS Lab دانشگاه بوداپست، به یک واحد تولیدی الکترونیک و مخابراتی ایران نیز اشاره می‌کند که از سال ۲۰۱۰ میلادی، هدف این عملیات جاسوسی قرار گرفته است. همچنین، برخی سفارتخانه‌های کشورهای عضو NATO در روسیه، برخی مراکز آموزش عالی در بلژیک و فرانسه و تعدادی واحد تولیدی در کشور روسیه به عنوان قربانیان این عملیات نام برده شده‌اند.

ابزار مخرب به کار گرفته شده توسط گروه TeamSpy شامل یک نسخه‌ی سالم و واقعی از برنامه‌ی اجرایی TeamViewer به نام TeamViewer_Resource_ru.dll بومی‌سازی شده برای زبان روسی، یک برنامه‌ی مخرب به نام avicap32.dll برای برقراری ارتباط با مرکز کنترل و فرماندهی و یک فایل تنظیمات به نام tv.cfg می‌باشد. این ابزار مخرب به نحوی برنامه‌ریزی شده که پس از برقراری ارتباط با مرکز فرماندهی خود، اقدام به دریافت و اجرای برنامه‌های مخرب دیگری بر روی سیستم قربانی نماید.

این برنامه‌های مخرب قادر به انجام عملیات جاسوسی مختلف هستند. از جمله می‌توان به ثبت کلیدهای زده شده بر روی صفحه کلید، عکس‌ برداری از صفحه‌ی نمایشگر، جمع‌آوری اطلاعات و مجوزهای دسترسی کاربر به سیستم، دریافت اطلاعات از نرم‌افزار iTunes شرکت Apple، جستجو بر روی دیسک‌ های سخت و دیسک‌ های شبکه برای یافتن فایل‌های خاص و غیره اشاره نمود. از جمله فایل‌هایی که در این عملیات جاسوسی سایبری جمع‌آوری می شوند، دارای فرمت‌ های pgp، vmdk، tc، doc، rtf، xls، mdb، pdf و p12 هستند.

اطلاعات به دست آمده از سرورهای کنترل و فرماندهی این عملیات نشان می‌دهد که گروه TeamSpy از سال ۲۰۰۴ میلادی با استفاده از ابزارهای مخربی که خودشان طراحی و تولید می‌کردند، فعالیت‌ های خلافکارانه‌ی مختلفی را به اجرا در آورده‌اند. همچنین، با توجه به کشف برخی کلمات کلیدی و استفاده از برخی اصطلاحات زبان روسی در برنامه‌های مخرب گروه TeamSpy، این احتمال داده می‌شود که این عملیات جدید به نوعی با عملیات جاسوسی سایبری چند ماه قبل که به نام Red October مشهور شد، ارتباط داشته باشد.

ولی در عین حال، تفاوت‌ هایی نیز بین این دو عملیات مشاهده می‌شود.از جمله می‌توان به سادگی سطح برنامه‌نویسی در این عملیات جدید و نحوه‌ی استفاده‌ی صریح و مستقیم از آدرس‌ های IP قربانیان در عملیات Red October اشاره کرد.

TeamViewer , سایبری