Los ataques de TeamSpy Crew: abuso de TeamViewer para ciberespionaje

Esta mañana, el Laboratorio de criptografía y seguridad de sistemas, conocido como CrySys Lab, junto a la Agencia húngara de seguridad nacional (NBF), publicaron detalles de un ataque dirigido de alto perfil contra Hungría. Los pormenores sobre los blancos exactos aún se desconocen y el incidente permanece clasificado.

Considerando las consecuencias de un ataque de esta naturaleza, el Global Research & Analysis Team de Kaspersky Lab realizó un análisis técnico de la campaña y de muestras de programas maliciosos relacionados.

A continuación ofrecemos las preguntas más frecuentes sobre el tema, y al final de este artículo hay un enlace para descargar el documento de análisis técnico.

¿Qué es TeamSpy?

‘TeamSpy’ es una operación de vigilancia cibernética dirigida contra activistas políticos y de derechos humanos de alto nivel en la Comunidad de estados independientes (CEI) y otras naciones del este de Europa. Entre sus víctimas se encuentran agencias gubernamentales y compañías privadas. Los ataques se han estado realizando durante casi una década y ya los habían mencioado unos activistas bielorrusos en 2012 .

¿Por qué se llama así?

Los atacantes controlan de forma remota los equipos de sus víctimas mediante la herramienta legítima de administración remota conocida como TeamViewer. Esta aplicación tiene firma de certificados digitales legítimos y la usan más de 100 millones de usuarios en todo el mundo. Para evitar que el usuario se entere de que está siendo objeto de espionaje, los atacantes parchan dinámicamente TeamViewer en la memoria para eliminar todo rastro de su presencia.

¿Qué hace este programa malicioso?.

Se trata de una operación de vigilancia/reconocimiento y robo de datos. Entre los datos confidenciales robados, se encuentran:

• Contenidos “secretos”, llaves de codificación secretas/privadas, contraseñas.
• Historial de dispositivos Apple iOS desde iTunes.
• Información detallada sobre OS y BIOS.
• Capturas de actividad en el teclado y capturas de pantalla.

Exactamente, ¿qué es lo que roba?

A los atacantes les interesan los archivos y documentos en formato de Office (*.doc, *.rtf, *.xls, *.mdb), archivos pdf (*.pdf), imágenes de disco (*.tc, *.vmdk), y también archivos que potencialmente contengan información confidencial como llaves de codificación (*. pgp, *.p12) y contraseñas (*pass*, *secret*, *saidumlo*, *секрет*.* y *парол*.*).

¿Qué es “saidumlo”?

Significa “secreto” en georgiano. En ruso “секрет” significa “secreto” y “парол” significa “password”.

¿Cómo pueden protegerse las organizaciones contra este ataque en particular?

1. Escanear la presencia de la aplicación “teamviewer.exe”.
2. Bloquear el acceso a conocidos dominios de comando y control, y direcciones IP (ver nuestro documento completo de análisis técnico).
3. Implementar un plan sólido de gestión de parches en su organización. Esta operación incluye el uso de kits de exploits populares que atacan vulnerabilidades de seguridad conocidas en programas de escritorio.

Puedes ver aquí nuestro análisis de los ataques TeamSpy.