En la mayor parte de los casos la
comunicación se realiza en conexión directa o mediante un servidor de comando y
control, sin embargo también es posible aprovechar ciertos servicios de
confianza como Twitter para enviar comandos a las herramientas maliciosas sin
dejar prácticamente ningún rastro.
Un
grupo de piratas informáticos de origen ruso está haciendo uso de una puerta
trasera, a la que han denominado como Hammertoss, para inyectar tráfico
malicioso en el tráfico legítimo que se genera en ciertas plataformas de
confianza como Twitter, GitHub o varios servidores de almacenamiento en la
nube.
Esta puerta trasera de detectó por primera vez a principios de este 2015 y desde entonces lleva siendo utilizada por los piratas informáticos para transmitir comandos y extraer datos de los objetivos comprometidos. La técnica que utilizan estos piratas informáticos para comunicarse con el troyano es muy compleja.
A
continuación vamos a resumir de la forma más sencilla posible cómo este malware
utiliza Twitter para recibir órdenes:
- Hammertoss contiene una serie de algoritmos que generan una cuenta concreta de Twitter desde donde recibirá las órdenes por parte de los piratas informáticos.
- El troyano se conecta todos los días a su cuenta concreta de Twitter y busca en ella nuevas órdenes establecidas por los piratas informáticos.
- Una vez recibe las órdenes las ejecuta y espera hasta el día siguiente para volver a conectarse.
- El troyano, una vez conectado a su cuenta de Twitter, buscará un tweet concreto que tenga un hashtag específico para cargar desde él los comandos de control. Analizando estos mensajes se ha podido ver cómo la mayoría de ellos estaban formados únicamente por imágenes en las cuales había datos ocultos mediante la esteganografía (arte de ocultar un mensaje o una imagen dentro de otro mensaje u otra imagen).
- Una vez que el troyano ya tenía todos los datos necesarios para empezar a trabajar se conectaba a un terminal de PowerShell en el sistema de la víctima desde donde ejecutaba los comandos recibidos.
Según
FireEye, empresa de seguridad que se encuentra investigando estos ataques, este
grupo de piratas informáticos es uno de los más prometedores de estos tiempos,
que mejores técnicos y conocimientos tienen y que mayores ataques están
llevando a cabo. La empresa de seguridad también afirma que esta herramienta no
se está distribuyendo de forma masiva por la red sino que el grupo de piratas
informáticos la tenía preparada de manera que si todas sus demás herramientas
fallaran pudieran aprovechar la infraestructura de esta. También es posible que
Hammertoss esté siendo utilizada para atacar objetivos no vulnerables a sus
otras herramientas, aunque esto no se ha confirmado.
Esta herramienta de momento es detectada por 4 bases de datos de VirusTotal. Es posible que a lo largo de las horas el número de firmas de seguridad capaces de identificar el malware sea mucho mayor, pero también que los piratas informáticos creen una nueva variante de Hammertoss que siga trabajando de forma oculta en la red.
Más información
- Informe completo de FireEye https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf