News

Los ataques de TeamSpy Crew: abuso de TeamViewer para ciberespionaje

Esta mañana, el Laboratorio de criptografía y seguridad de sistemas, conocido como CrySys Lab, junto a la Agencia húngara de seguridad nacional (NBF), publicaron detalles de un ataque dirigido de alto perfil contra Hungría. Los pormenores sobre los blancos exactos aún se desconocen y el incidente permanece clasificado.

Considerando las consecuencias de un ataque de esta naturaleza, el Global Research & Analysis Team de Kaspersky Lab realizó un análisis técnico de la campaña y de muestras de programas maliciosos relacionados.

A continuación ofrecemos las preguntas más frecuentes sobre el tema, y al final de este artículo hay un enlace para descargar el documento de análisis técnico.

¿Qué es TeamSpy?

‘TeamSpy’ es una operación de vigilancia cibernética dirigida contra activistas políticos y de derechos humanos de alto nivel en la Comunidad de estados independientes (CEI) y otras naciones del este de Europa. Entre sus víctimas se encuentran agencias gubernamentales y compañías privadas. Los ataques se han estado realizando durante casi una década y ya los habían mencioado unos activistas bielorrusos en 2012 .

¿Por qué se llama así?

Los atacantes controlan de forma remota los equipos de sus víctimas mediante la herramienta legítima de administración remota conocida como TeamViewer. Esta aplicación tiene firma de certificados digitales legítimos y la usan más de 100 millones de usuarios en todo el mundo. Para evitar que el usuario se entere de que está siendo objeto de espionaje, los atacantes parchan dinámicamente TeamViewer en la memoria para eliminar todo rastro de su presencia.

¿Qué hace este programa malicioso?.

Se trata de una operación de vigilancia/reconocimiento y robo de datos. Entre los datos confidenciales robados, se encuentran:

  • Contenidos “secretos”, llaves de codificación secretas/privadas, contraseñas.
  • Historial de dispositivos Apple iOS desde iTunes.
  • Información detallada sobre OS y BIOS.
  • Capturas de actividad en el teclado y capturas de pantalla.

Exactamente, ¿qué es lo que roba?

A los atacantes les interesan los archivos y documentos en formato de Office (*.doc, *.rtf, *.xls, *.mdb), archivos pdf (*.pdf), imágenes de disco (*.tc, *.vmdk), y también archivos que potencialmente contengan información confidencial como llaves de codificación (*. pgp, *.p12) y contraseñas (*pass*, *secret*, *saidumlo*, *секрет*.* y *парол*.*).

¿Qué es “saidumlo”?

Significa “secreto” en georgiano. En ruso “секрет” significa “secreto” y “парол” significa “password”.

¿Cómo pueden protegerse las organizaciones contra este ataque en particular?

  1. Escanear la presencia de la aplicación “teamviewer.exe”.
  2. Bloquear el acceso a conocidos dominios de comando y control, y direcciones IP (ver nuestro documento completo de análisis técnico).
  3. Implementar un plan sólido de gestión de parches en su organización. Esta operación incluye el uso de kits de exploits populares que atacan vulnerabilidades de seguridad conocidas en programas de escritorio.

Puedes ver aquí nuestro análisis de los ataques TeamSpy.

Los ataques de TeamSpy Crew: abuso de TeamViewer para ciberespionaje

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada