image

Cyberspionnen begluren slachtoffers via TeamViewer

donderdag 21 maart 2013, 10:23 door Redactie, 0 reacties

Onbekende aanvallers hebben tien jaar lang allerlei bedrijven, overheidsinstanties, activisten en politici via de TeamViewer beheertool bespioneerd. Dat meldt het Hongaarse beveiligingsbedrijf CrySyS. Het doel van de aanvallen was het verzamelen van informatie. Daarnaast konden de aanvallers via de TeamViewer tool in real-time met hun slachtoffers meekijken.

Hoe de aanvallers toegang tot de computers van hun slachtoffers kregen is onbekend, maar was dit eenmaal gelukt, dan werd de TeamViewer tool geïnstalleerd. Dit is een populair programma om op afstand op computers in te loggen. Het gedrag van de TeamViewer installatie werd middels 'DLL hijacking' aangepast.

Datadiefstal
Niet alleen konden de aanvallers in real-time meekijken, ook konden ze TeamViewer gebruiken om andere tools te installeren en bestanden en andere gegevens te stelen. Het ging onder andere om XLS, PDF, PGP, RTF, DOC en P12 bestanden. Maar ook zaken als de apparaatgeschiedenis van Apple iOS apparaten uit iTunes, gedetailleerde besturingssysteem en BIOS-informatie, screenshots, wachtwoorden en toetsaanslagen.

Het feit dat er ook naar PGP en P12 bestanden werd gezocht laat volgens CrySyS zien dat het de aanvallers niet om doorsnee gebruikers te doen was. De gestolen informatie werd onder andere naar Amerikaanse IP-adressen geüpload.


Slachtoffers
De aanvallen waren onderdeel van meerdere campagnes die over een periode van zeker 10 jaar plaatsvonden. Onder de slachtoffers bevinden zich een Hongaarse politicus, de NAVO ambassade in Rusland, een elektronicabedrijf in het Midden-Oosten met een overheidsachtergrond, verschillende onderzoeksinstellingen in België en Frankrijk en een fabrikant in Rusland.

Volgens het Russische anti-virusbedrijf Kaspersky Lab gaat het ook om belangrijke politici en mensenrechtenactivisten in de voormalige Sovjet-Unie en Oost-Europese landen. Beide beveiligingsbedrijven laten zich niet uit over wie er achter de aanvallen kan zitten, hoewel Kaspersky het als een mysterieuze 'threat actor' omschrijft.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.