A Nemzeti Biztonsági Felügyelet és a BME-n működő kiberbiztonsági laboratórium, a CrySyS Lab újabb, kifejezetten fontos célpontokra specializálódott, Magyarországot is támadó kártevőt fedezett fel. Korábban szokásos támadásnak nézték, azonban kiderült, hogy célzottan magyar diplomáciai célponttól is lopott adatokat. A kutatók TeamSpynak nevezték el programot, mivel a népszerű, távoli bejelentkezésre használható TeamViewert módosították, és használták a támadásokhoz.
A felfedezés idején, tavaly decemberben a támadások még folyamatban voltak az ország ellen. A kiberlabor vizsgálata feltárt több irányító szervert, ezekből kiderült, hogy több támadási hullámról beszélhetünk, melyeket az elmúlt években vezényeltek le, 2004-től kezdődően. Bencsáth Boldizsár, a Crysys Lab munkatársa az Indexnek elmondta, hogy most néhány száz aktív áldozat lehet, amelyből csak pár magyar, azok viszont kiemelt célpontok.
Az eddigi adatok alapján úgy tűnik, a támadások fő célja az információgyűjtés volt. Az áldozatok egy része átlagos felhasználó, azonban több kiemelt ipari és kutatói, valamint diplomáciai célpontot is találunk köztük (egy ilyenen fedezték fel a kártevőt is).
A támadók egy eredeti TeamViewert telepítettek az áldozat számítógépére, azonban a DLL-eltérítés ( DLL hijacking ) nevű technikával módosították annak működését, így valós időben hozzáférhettek az áldozat gépéhez. Ezzel nem csak látták, mit csinál, de a módosított programot más kártevők telepítésére is használhatták, ezen kívül fontos fájlokra vagy más adatokra kereshettek.
A Crysys Lab szerint a támadások mögött valószínűleg olyanok állnak, akik már legalább tíz éve kiberbűnözéssel foglalkoznak, több minta között is volt egyértelmű összefüggés. A támadások új erőre kaptak 2012 második felében. Annyi biztos, hogy a célpontok nagy része Ororszországban és az utódállamok környékén keresendő. A támadók legtöbb IP-címe ismeretlen helyre mutat, néhány azonban az beazonosítható – ez persze nem jelenti azt, hogy adott országoknak köze van a támadásokhoz.
Az eddigi bizonyítékok alapján a támadók több kampányt folytattak, és valószínűleg közük volt korábbi támadásokhoz is, például a TeamBot/Sheldor nevű kártevővel, amely elsősorban bankokra specializálódott.
Az adatelemzésekről kiderült, hogy Magyarországon kívül is támadtak fontos célpontokat, például Iránban egy kormányzati hátterű elektronikai céget, még 2010-ben. Amit biztosan tudunk, hogy 2012 novemberében támadtak magyar kormányzati célpontokra, 2013 márciusában NATO- és EU-követségekre, ipari létesítményekre Oroszországban, több kutatóintézetre Franciaországban és Belgiumban. Valamint még 2010 májusában az iráni elektronikai cégre.
A kódból kiderül, hogy a támadók olyan fájlokat keresnek, amiben a következő karaktersorozatok találhatóak meg: *saidumlo*, *secret*.*, *секрет*.*, *парол*.*, *.xls, *.pdf, *.pgp, *pass*.*, *.rtf, *.doc. Ebből arra lehet következtetni, hogy a támadók titkos és jelszavakat tartalmazó dokumentumokat keresnek, valamint titkosítókulcsokat. A magyar incidensből egyértelműen kiderül, hogy kiemelt célpontra vadásztak, néhány kódsorból pedig látszik, hogy kifejezetten egy-egy dokumentumra is, például a gázai alagutakról.
Forró tavaszunk van, alig telt el pár hét az előző, szintén fontos, és akkor először bizonyítottan kormányzati célpontokra specializálódott kártevőt fogott a Crysys Lab. A Miniduke ugyanolyan kifinomult kiberfegyver, mint a Stuxnet, a Duqu, a Gauss és a Flame. A TeamSpy szintén profik műve, viszont az előbb felsorolt programokkal nem áll rokonságban.
A támadások többfélék, kiemelt célpontok ellen és egyszerű banki kibertámadásként is használják a malware-t. Eddig senki nem figyelt fel a kódokra, többen elemezték már, de nem tudták összerakni a nagy képet, ezért régóta rejtőzködhettett a program.