گروهی که مسئول این عملیات جاسوسی سایبری جدید هستند، از یک ابزار مخرب که به همراه نرم افزار مشهور TeamViewer اجرا شده و از امکانات آن سوء استفاده می کند، بهره برده و به همین دلیل نیز نام TeamSpy به این گروه داده شده است. این ابزار مخرب، از قابلیت های TeamViewer برای آلوده کردن قربانی و سرقت اطلاعات سوء استفاده می کند.
مانند بسیاری از عملیات سایبری اخیر، این عملیات جاسوسی جدید نیز توسط محققان مرکز CrySyS Lab وابسته به دانشگاه بوداپست کشور مجارستان کشف و شناسایی شده است. در این تحقیقات شرکت های امنیتی Kaspersky، Symantec و ESET نیز مشارکت داشته اند.
مستنداتی که تاکنون به دست آمده، نشان می دهد که برخی از نرم افزارهای مخرب مرتبط با این عملیات سایبری از سال 2010 میلادی فعال بوده اند.
بر اساس اطلاعات منتشر شده از سوی مرکز CrySyS Lab، به نظر می رسد که کاربران عادی، بخشی از قربانیان این عملیات جاسوسی سایبری بوده ولی در کنار این افراد، برخی مراکز و ارگان های مهم و حساس دولتی و سیاسی نیز هدف این عملیات قرار گرفته اند. مرکز CrySyS Lab دانشگاه بوداپست، از جمله به یک واحد تولیدی الکترونیک و مخابراتی ایران نیز اشاره می کند که از سال 2010 میلادی، هدف این عملیات جاسوسی قرار گرفته است. همچنین برخی سفارتخانه های کشورهای عضو NATO در روسیه، برخی مراکز آموزش عالی در بلژیک و فرانسه و تعدادی واحد تولیدی در کشور روسیه، بعنوان قربانیان این عملیات نام برده شده اند.
ابزار مخرب بکار گرفته شده توسط گروه TeamSpy شامل یک نسخه سالم و واقعی از برنامه اجرایی TeamViewer (به نام TeamViewer_Resource_ru.dll) بومی سازی شده برای زبان روسی، یک برنامه مخرب به نام avicap32.dll برای برقراری ارتباط با مرکز کنترل و فرماندهی و یک فایل تنظیمات به نام tv.cfg می باشد.
این ابزار مخرب به نحوی برنامه ریزی شده که پس از برقراری ارتباط با مرکز فرماندهی خود، اقدام به دریافت و اجرای برنامه های مخرب دیگری بر روی سیستم قربانی نماید. این برنامه های مخرب قادر به انجام عملیات جاسوسی مختلف هستند. از جمله می توان به ثبت کلیدهای زده شده بر روی صفحه کلید، عکسبرداری از صفحه نمایشگر، جمع آوری اطلاعات و مجوزهای دسترسی کاربر به سیستم، دریافت اطلاعات از نرم افزار iTunes شرکت Apple، جستجو بر روی دیسک های سخت و دیسک های شبکه برای یافتن فایل های خاص و … اشاره نمود.
از جمله فایل هایی که در این عملیات جاسوسی سایبری جمع آوری می شوند، قالب های pdf, mdb, xls, rtf, doc, tc, vmdk, pgp و p12 هستند.
اطلاعات به دست آمده از سرورهای کنترل و فرماندهی این عملیات، نشان می دهد که گروه TeamSpy از سال 2004 میلادی با استفاده از ابزارهای مخربی که خودشان طراحی و تولید می کردند، فعالیت های خلافکارانه مختلفی را به اجرا در آورده اند.
همچنین با توجه به کشف برخی کلمات کلیدی و استفاده از برخی اصطلاحات زبان روسی در برنامه های مخرب گروه teamSpy، این احتمال داده می شود که این عملیات جدید به نوعی با عملیات جاسوسی سایبری چند ماه قبل که به نام Red October مشهور شد، ارتباط داشته باشد. ولی در عین حال، تفاوت هایی نیز بین این دو عملیات مشاهده می شود. از جمله می توان به سادگی سطح برنامه نویسی در این عملیات جدید و نحوه استفاده صریح و مستقیم از نشانی های IP قربانیان در عملیات Red October اشاره کرد.
تمام اقدامات و فایلهای مخرب مرتبط با این عملیات سایبری توسط دو ضدویروس McAfee و Bitdefender بطور کامل شناسایی می شوند.