Una mega-campagna di sorveglianza informatica, ribattezzata TeamSpy, che ha colpito per oltre un decennio figure politiche di alto profilo, agenzie di intelligence, grandi industrie e attivisti dei diritti umani in Europa orientale è stata scoperta dal Laboratory of Cryptography and System Security (CrySyS Lab) del governo ungherese.
Su TeamSpy il Global Research & Analysis Team di Kaspersky Lab ha pubblicato un report in cui sottolinea che questo malware è stato progettato per attuare una costante sorveglianza informatica sulle sue vittime e contemporaneamente effettuare furti di dati sensibili e operazioni di intelligence geopolitica.
L’operazione di spionaggio sarebbe stata condotta attraverso TeamViewer, una strumentazione legale per controllare i computer da remoto e organizzare meeting online. Gli “spioni” avrebbero installato il software nei pc Windows delle vittime e modificato i codici per aprire delle backdoor sulle macchine compromesse.
Secondo i laboratori ungheresi, tra gli obiettivi un’ambasciata di uno Stato dell’Unione europea in Russia, un’azienda di elettronica in Medio Oriente, varie organizzazioni di ricerca e formazione in Francia e Belgio e un’impresa manifatturiera in Russia.
Le cyber-spie erano interessate ai documenti Microsoft Office e a tutti quei file che contenevano potenzialmente password o parole chiave criptate.
“Molto probabilmente – dicono i CrySyS Lab – sono gli stessi pirati informatici dietro gli attacchi degli ultimi 10 anni, perché ci sono chiari collegamenti tra le diverse campagne informatiche di questo periodo. Curiosamente gli assalti si sono intensificati nella seconda metà del 2012. Sono un mix – affermano – di attacchi mirati e attività di cybercrime convenzionali”.
Per gli ungheresi, il gruppo di spie sarebbe di dimensioni limitate e avrebbe commesso diversi errori. “Uno dei motivi – ipotizzano – è che, dopo tanti anni di spionaggio senza mai essere colti sul fatto, non hanno avuto più paura di essere individuati e si sono lasciati andare”.
Dalla ricerca di Kaspersky Lab, grande azienda che produce e commercializza soluzioni per la security, emerge che “al momento TeamSpy è un’operazione ancora attiva e rappresenta una grave minaccia per enti di tutto il mondo, in particolare nell’ex Unione Sovietica e nei paesi dell’Est Europa”.
Gli esperti di Kaspersky Lab sostengono che “gli aggressori di TeamSpy controllano da remoto il malware in esecuzione sul computer delle vittime, utilizzando l’applicazione di TeamViewer (teamviewer.exe), che è dotata di co certificati digitali legittimi. Attraverso TeamViewer, i criminali informatici sono in grado di eseguire numerosi furti di dati sulle macchine infette. La tipologia di dati sensibili e informazioni sottratte alle vittime da TeamSpy comprendono: documenti confidenziali o ufficiali e file PDF, chiavi crittografiche private e password utilizzate per accedere alle informazioni sensibili, dati dei dispositivi Apple archiviati sul sito di iTunes, dDettagli della configurazione del sistema, comprese le informazioni dell’OS e BIOS e tasti digitati dagli utenti, screenshot e immagini dal disco”.