Hackers rusos utilizan Twitter para inyectar malware Hammertoss
Un supuesto grupo cibernético patrocinado por el Estado Ruso está utilizando una sofisticada variante de malware que imita el uso normal de Internet para evadir la detección, según la firma de seguridad FireEye.
El malware Hammertoss utiliza Twitter, GitHub y los sistemas de almacenamiento basados en la nube para transmitir comandos y extraer datos de las redes comprometidas, dijo la compañía.
FireEye ha nombrado al grupo como APT29. Dijo en un informe que los hackers agregaron "capas de ofuscación" y copiaron el comportamiento de los usuarios legítimos mientras levantan los datos de los archivos de imagen a los servidores en la nube.
La firma de seguridad sospecha que el grupo es patrocinado por el gobierno ruso debido a las organizaciones a las que se dirige y al tipo de datos que roba.
"Al parecer APT29 cesó sus operaciones en la temporada de vacaciones en Rusia y sus horas de trabajo parecen alinearse con la zona horaria UTC+3, correspondiente a ciudades como Moscú y San Petersburgo", explicó el informe.
El malware funciona buscando en una cuenta diferente de Twitter cada día con el fin de recibir instrucciones del grupo. Si el manejador está activo, el malware Hammertoss busca en el tweet una URL y un hashtag, entonces sigue el enlace.
En esta etapa, el malware abre y descifra una imagen aparentemente legítima que contiene instrucciones cifradas.
Los comandos incluyen datos sobre cómo hackear la red o los archivos de la víctima, la información luego se carga a un sistema de almacenamiento basado en la nube.
El informe de FireEye señaló que las técnicas del malware no son nuevas, pero que la combinación de diferentes variantes hace difícil identificar la actividad maliciosa en una red.
"Individualmente, cada técnica ofrece cierto grado de ofuscación de la actividad del grupo. En combinación, estas técnicas hacen que sea especialmente difícil de identificar Hammertoss o detectar el tráfico de red malicioso", dijo el informe.
Michael Mimoso, que escribe para el sitio web de seguridad de Kaspersky Lab,Threatpost, dijo que la amenaza es una reminiscencia de la pandilla espionaje detrás de la puerta trasera Miniduke, descubierta en 2013.
Miniduke destinado a organizaciones gubernamentales y también utiliza Twitter como un punto de acceso.
Rusia ha estado tratando de aumentar sus capacidades cibernéticas y se ha implicado en un número de ataques de alto perfil en los últimos años. A principios de este año, los hackers rusos rompieron la seguridad del Departamento de Defensa de Estados Unidos mediante la explotación de una falla no parcheada en un antiguo sistema informático.
En 2014, continuando la tendencia de ciberespionaje dirigido a los los EE.UU., los hackers rusos rompieron las defensas de la Casa Blanca y lograron acceder a información sobre las citas y los movimientos del presidente Obama.