Ciberespionaje sobre TeamViewer

0

TeamSpyHace escasas horas, el Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS Lab), junto con la NBF -Hungarian Security Authority- publicaron detalles sobre un importante ataque dirigido contra ese país. Los detalles sobre los objetivos concretos no se conocen y los incidentes permanecen clasificados.

Considerando las implicaciones de dicho ataque, Kaspersky Global research & Analisis ha desarrollado un análisis técnico de la campaña y de las muestras de malware relacionadas. Los ataques son perpetrados de la “familia” TeamSpy. Os ofrecemos una pequeña guía en forma de preguntas y un enlace al final de la noticia para poder descargar el informe técnico.

 

¿Qué es TeamSpy?

TeamSpy es un tipo de operación de ciber-vigilancia dirigida hacia políticos de alto nivel o activistas de Derechos Humanos, que se da principalmente en los países de Europa del Este. Las agencias gubernamentales también pueden llegar a ser víctimas de estos seguimientos, al igual que empresas privadas. Estos ataques tienen ya más de una década de historia y fueron previamente denunciados por activistas bielorrusos en 2012.

 

¿Por qué lo llamamos TeamSpy?

Los atacantes controlan los ordenadores de las víctimas remotamente, usando la suite de administración legal Teamviewer. Esta aplicación esta firmada certificados digitales legítimos y está en uso por más de 100 millones de personas en todo el mundo. Para evitar alertar al usuario de que está siendo espiado, los atacantes parchean periódicamente Teamviewer en memoria para destruir cualquier prueba de su presencia.

 

¿Qué tareas desarrolla el malware?

Se trata de una operación conjunta de vigilancia/reconocimiento y extracción de información confidencial. Los datos sensibles que figuran como objetivo son:

– Contenido “secreto”, cripto-claves secretas/privadas, contraseñas.
– Historial de iTunes para dispositivos iOS de Apple.
– Información detallada de BIOS y Sistema Operativo.
– “Keylogging” (grabación de pulsaciones de teclado) y capturas de pantalla.
 

¿Qué se roba exactamente?

Los atacantes están interesados en documentos de Office (p.e, *.doc, *.rtf, *.xls, *.mdb) archivos PDF, imágenes de disco (p.e,*.tc, *.vmdk) y cualquier otro archivo que pueda contener información sensible, como las claves de cifrado (p.e,*. pgp, *.p12) y contraseñas (p.e, *pass*, *secret*, *saidumlo*, *секрет*.* and *парол*.*)

 

¿Qué es “saidumlo”?

Significa “Secreto” en georgiano. “секрет” quiere decir “secreto” en ruso, mientras que “парол” significa “contraseña”.

 

¿Como pueden las organizaciones protegerse de este particular ataque?

1. Realizar un escaneo de sistema para comprobar si hay presencia de la aplicación “Teamviewer.exe”.

2. Bloquear el acceso a los dominios e IP’s que corresponden al C2 o “Command-and-control” conocido (se puede ver en el documento técnico completo)

3.Desarollar un plan de mantenimiento de parches a niviel global en las organizaciones. Estas operaciones incluyen el uso de “kits de exploit” populares dirigidos hacia vulnerabilidades conocidas en el software de seguridad de los equipos. 

Documento completo en pdf: analysis of the TeamSpy attacks

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR