کارشناسان امنیتی یک عملیات جاسوسی سایبری جدید دیگر را شناسایی کرده*اند که فعالان سیاسی و حقوق بشر، ارگان*های دولتی، مراکز تحقیقاتی و واحدهای تولیدی را اغلب در کشورهای اروپای شرقی و اتحاد جماهیر شوروی سابق مورد هدف قرار داده است.
پایگاه اطلاع*رسانی پلیس فتا: گروهی که مسئول این عملیات جاسوسی سایبری جدید هستند از یک ابزار مخرب که به همراه نرم*افزار مشهور TeamViewer اجرا شده و از امکانات آن سوءاستفاده می*کند، بهره برده و به همین دلیل نیز نام TeamSpy به این گروه داده شده است. این ابزار مخرب، از قابلیت*های TeamViewer برای آلوده کردن قربانی و سرقت اطلاعات سوءاستفاده می*کند. مانند بسیاری از عملیات سایبری اخیر، این عملیات جاسوسی جدید نیز توسط محققان مرکز CrySyS Lab وابسته به دانشگاه بوداپست کشور مجارستان کشف و شناسایی شده است. در این تحقیقات شرکت*های امنیتی Kaspersky، Symantec و ESET نیز مشارکت داشته*اند.
مستنداتی که تاکنون به دست آمده، نشان می*دهد که برخی از نرم*افزارهای مخرب مرتبط با این عملیات سایبری از سال 2010 میلادی فعال بوده*اند. بر اساس اطلاعات منتشر شده از سوی مرکز CrySyS Lab، به نظر می*رسد که کاربران عادی، بخشی از قربانیان این عملیات جاسوسی سایبری بوده ولی در کنار این افراد، برخی مراکز و ارگان*های مهم و حساس دولتی و سیاسی نیز هدف این عملیات قرار گرفته*اند. مرکز CrySyS Lab دانشگاه بوداپست، به یک واحد تولیدی الکترونیک و مخابراتی ایران نیز اشاره می*کند که از سال 2010 میلادی، هدف این عملیات جاسوسی قرار گرفته است. همچنین، برخی سفارتخانه*های کشورهای عضو NATO در روسیه، برخی مراکز آموزش عالی در بلژیک و فرانسه و تعدادی واحد تولیدی در کشور روسیه به عنوان قربانیان این عملیات نام برده شده*اند.
ابزار مخرب به کار گرفته شده توسط گروه TeamSpy شامل یک نسخه*ی سالم و واقعی از برنامه*ی اجرایی TeamViewer به نام TeamViewer_Resource_ru.dll بومی*سازی شده برای زبان روسی، یک برنامه*ی مخرب به نام avicap32.dll برای برقراری ارتباط با مرکز کنترل و فرماندهی و یک فایل تنظیمات به نام tv.cfg می*باشد. این ابزار مخرب به نحوی برنامه*ریزی شده که پس از برقراری ارتباط با مرکز فرماندهی خود، اقدام به دریافت و اجرای برنامه*های مخرب دیگری بر روی سیستم قربانی نماید.
این برنامه*های مخرب قادر به انجام عملیات جاسوسی مختلف هستند. از جمله می*توان به ثبت کلیدهای زده شده بر روی صفحه کلید، عکس*برداری از صفحه*ی نمایش*گر، جمع*آوری اطلاعات و مجوزهای دسترسی کاربر به سیستم، دریافت اطلاعات از نرم*افزار iTunes شرکت Apple، جستجو بر روی دیسک*های سخت و دیسک*های شبکه برای یافتن فایل*های خاص و غیره اشاره نمود. از جمله فایل*هایی که در این عملیات جاسوسی سایبری جمع*آوری می شوند، دارای فرمت*های pgp، vmdk، tc، doc، rtf، xls، mdb، pdf و p12 هستند.
اطلاعات به دست آمده از سرورهای کنترل و فرماندهی این عملیات نشان می*دهد که گروه TeamSpy از سال 2004 میلادی با استفاده از ابزارهای مخربی که خودشان طراحی و تولید می*کردند، فعالیت*های خلافکارانه*ی مختلفی را به اجرا در آورده*اند. همچنین، با توجه به کشف برخی کلمات کلیدی و استفاده از برخی اصطلاحات زبان روسی در برنامه*های مخرب گروه TeamSpy، این احتمال داده می*شود که این عملیات جدید به نوعی با عملیات جاسوسی سایبری چند ماه قبل که به نام Red October مشهور شد، ارتباط داشته باشد. ولی در عین حال، تفاوت*هایی نیز بین این دو عملیات مشاهده می*شود. از جمله می*توان به سادگی سطح برنامه*نویسی در این عملیات جدید و نحوه*ی استفاده*ی صریح و مستقیم از آدرس*های IP قربانیان در عملیات Red October اشاره کرد.
پایگاه اطلاع*رسانی پلیس فتا: گروهی که مسئول این عملیات جاسوسی سایبری جدید هستند از یک ابزار مخرب که به همراه نرم*افزار مشهور TeamViewer اجرا شده و از امکانات آن سوءاستفاده می*کند، بهره برده و به همین دلیل نیز نام TeamSpy به این گروه داده شده است. این ابزار مخرب، از قابلیت*های TeamViewer برای آلوده کردن قربانی و سرقت اطلاعات سوءاستفاده می*کند. مانند بسیاری از عملیات سایبری اخیر، این عملیات جاسوسی جدید نیز توسط محققان مرکز CrySyS Lab وابسته به دانشگاه بوداپست کشور مجارستان کشف و شناسایی شده است. در این تحقیقات شرکت*های امنیتی Kaspersky، Symantec و ESET نیز مشارکت داشته*اند.
مستنداتی که تاکنون به دست آمده، نشان می*دهد که برخی از نرم*افزارهای مخرب مرتبط با این عملیات سایبری از سال 2010 میلادی فعال بوده*اند. بر اساس اطلاعات منتشر شده از سوی مرکز CrySyS Lab، به نظر می*رسد که کاربران عادی، بخشی از قربانیان این عملیات جاسوسی سایبری بوده ولی در کنار این افراد، برخی مراکز و ارگان*های مهم و حساس دولتی و سیاسی نیز هدف این عملیات قرار گرفته*اند. مرکز CrySyS Lab دانشگاه بوداپست، به یک واحد تولیدی الکترونیک و مخابراتی ایران نیز اشاره می*کند که از سال 2010 میلادی، هدف این عملیات جاسوسی قرار گرفته است. همچنین، برخی سفارتخانه*های کشورهای عضو NATO در روسیه، برخی مراکز آموزش عالی در بلژیک و فرانسه و تعدادی واحد تولیدی در کشور روسیه به عنوان قربانیان این عملیات نام برده شده*اند.
ابزار مخرب به کار گرفته شده توسط گروه TeamSpy شامل یک نسخه*ی سالم و واقعی از برنامه*ی اجرایی TeamViewer به نام TeamViewer_Resource_ru.dll بومی*سازی شده برای زبان روسی، یک برنامه*ی مخرب به نام avicap32.dll برای برقراری ارتباط با مرکز کنترل و فرماندهی و یک فایل تنظیمات به نام tv.cfg می*باشد. این ابزار مخرب به نحوی برنامه*ریزی شده که پس از برقراری ارتباط با مرکز فرماندهی خود، اقدام به دریافت و اجرای برنامه*های مخرب دیگری بر روی سیستم قربانی نماید.
این برنامه*های مخرب قادر به انجام عملیات جاسوسی مختلف هستند. از جمله می*توان به ثبت کلیدهای زده شده بر روی صفحه کلید، عکس*برداری از صفحه*ی نمایش*گر، جمع*آوری اطلاعات و مجوزهای دسترسی کاربر به سیستم، دریافت اطلاعات از نرم*افزار iTunes شرکت Apple، جستجو بر روی دیسک*های سخت و دیسک*های شبکه برای یافتن فایل*های خاص و غیره اشاره نمود. از جمله فایل*هایی که در این عملیات جاسوسی سایبری جمع*آوری می شوند، دارای فرمت*های pgp، vmdk، tc، doc، rtf، xls، mdb، pdf و p12 هستند.
اطلاعات به دست آمده از سرورهای کنترل و فرماندهی این عملیات نشان می*دهد که گروه TeamSpy از سال 2004 میلادی با استفاده از ابزارهای مخربی که خودشان طراحی و تولید می*کردند، فعالیت*های خلافکارانه*ی مختلفی را به اجرا در آورده*اند. همچنین، با توجه به کشف برخی کلمات کلیدی و استفاده از برخی اصطلاحات زبان روسی در برنامه*های مخرب گروه TeamSpy، این احتمال داده می*شود که این عملیات جدید به نوعی با عملیات جاسوسی سایبری چند ماه قبل که به نام Red October مشهور شد، ارتباط داشته باشد. ولی در عین حال، تفاوت*هایی نیز بین این دو عملیات مشاهده می*شود. از جمله می*توان به سادگی سطح برنامه*نویسی در این عملیات جدید و نحوه*ی استفاده*ی صریح و مستقیم از آدرس*های IP قربانیان در عملیات Red October اشاره کرد.