کارشناسان امنیتی یک عملیات جاسوسی سایبری جدید دیگر را شناسایی
کردهاند که فعالان سیاسی و حقوق بشر، ارگانهای دولتی، مراکز تحقیقاتی و
واحدهای تولیدی را اغلب در کشورهای اروپای شرقی و اتحاد جماهیر شوروی سابق
مورد هدف قرار داده است.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، گروهی که مسئول این عملیات جاسوسی سایبری جدید هستند از یک ابزار
مخرب که به همراه نرمافزار مشهور TeamViewer اجرا شده و از امکانات آن
سوءاستفاده میکند، بهره برده و به همین دلیل نیز نام TeamSpy به این گروه
داده شده است. این ابزار مخرب، از قابلیت های TeamViewer برای آلوده کردن
قربانی و سرقت اطلاعات سوءاستفاده میکند.
مانند بسیاری از عملیات سایبری اخیر، این عملیات جاسوسی جدید نیز توسط
محققان مرکز CrySyS Lab وابسته به دانشگاه بوداپست کشور مجارستان کشف و
شناسایی شده است. در این تحقیقات شرکت های امنیتی Kaspersky، Symantec و
ESET نیز مشارکت داشتهاند.
مستنداتی که تاکنون به دست آمده، نشان میدهد که برخی از نرمافزارهای
مخرب مرتبط با این عملیات سایبری از سال ۲۰۱۰ میلادی فعال بودهاند. بر
اساس اطلاعات منتشر شده از سوی مرکز CrySyS Lab، به نظر میرسد که کاربران
عادی، بخشی از قربانیان این عملیات جاسوسی سایبری بوده ولی در کنار این
افراد، برخی مراکز و ارگانهای مهم و حساس دولتی و سیاسی نیز هدف این
عملیات قرار گرفتهاند.
مرکز CrySyS Lab دانشگاه بوداپست، به یک واحد تولیدی الکترونیک و
مخابراتی ایران نیز اشاره میکند که از سال ۲۰۱۰ میلادی، هدف این عملیات
جاسوسی قرار گرفته است. همچنین، برخی سفارتخانههای کشورهای عضو NATO در
روسیه، برخی مراکز آموزش عالی در بلژیک و فرانسه و تعدادی واحد تولیدی در
کشور روسیه به عنوان قربانیان این عملیات نام برده شدهاند.
ابزار مخرب به کار گرفته شده توسط گروه TeamSpy شامل یک نسخهی سالم و
واقعی از برنامهی اجرایی TeamViewer به نام TeamViewer_Resource_ru.dll
بومیسازی شده برای زبان روسی، یک برنامهی مخرب به نام avicap32.dll برای
برقراری ارتباط با مرکز کنترل و فرماندهی و یک فایل تنظیمات به نام tv.cfg
میباشد. این ابزار مخرب به نحوی برنامهریزی شده که پس از برقراری ارتباط
با مرکز فرماندهی خود، اقدام به دریافت و اجرای برنامههای مخرب دیگری بر
روی سیستم قربانی نماید.
این برنامههای مخرب قادر به انجام عملیات جاسوسی مختلف هستند. از جمله
میتوان به ثبت کلیدهای زده شده بر روی صفحه کلید، عکس برداری از صفحهی
نمایشگر، جمعآوری اطلاعات و مجوزهای دسترسی کاربر به سیستم، دریافت
اطلاعات از نرمافزار iTunes شرکت Apple، جستجو بر روی دیسک های سخت و
دیسک های شبکه برای یافتن فایلهای خاص و غیره اشاره نمود. از جمله
فایلهایی که در این عملیات جاسوسی سایبری جمعآوری می شوند، دارای فرمت
های pgp، vmdk، tc، doc، rtf، xls، mdb، pdf و p12 هستند.
اطلاعات به دست آمده از سرورهای کنترل و فرماندهی این عملیات نشان
میدهد که گروه TeamSpy از سال ۲۰۰۴ میلادی با استفاده از ابزارهای مخربی
که خودشان طراحی و تولید میکردند، فعالیت های خلافکارانهی مختلفی را به
اجرا در آوردهاند. همچنین، با توجه به کشف برخی کلمات کلیدی و استفاده از
برخی اصطلاحات زبان روسی در برنامههای مخرب گروه TeamSpy، این احتمال داده
میشود که این عملیات جدید به نوعی با عملیات جاسوسی سایبری چند ماه قبل
که به نام Red October مشهور شد، ارتباط داشته باشد.
ولی در عین حال، تفاوت هایی نیز بین این دو عملیات مشاهده میشود.از
جمله میتوان به سادگی سطح برنامهنویسی در این عملیات جدید و نحوهی
استفادهی صریح و مستقیم از آدرس های IP قربانیان در عملیات Red October
اشاره کرد.