Hackers rusos emplean Twitter para enmascarar el robo de datos

Los hackers han venido utilizando las redes sociales durante largo tiempo para liberar malware a través de sus comandos asociados. Pero FireEye señala que este grupo –al cual ha denominado APT 29- ha subido un peldaño en la escala de nivel, haciendo muy difícil para las empresas reconocer que han podido ser hackeadas.

Los analistas de FireEye localizaron dicho malware, al que han denominado Hammertoss, en una de las redes de un cliente a principios de este año. APT 29 ha realizado diversas acciones para tratar de enmascarar su comunicación con Hammertoss con la finalidad de evitar la detección. Para ello, Hammertoss  dispone de un algoritmo que genera subrutinas a diario; de manera que, si los hackers de APT 29 querían comunicarse con dicho malware, éstos registraban la cuenta de Twitter justo en el día en el que tratarían de contactar con él.

“Los hackers APT 29 utilizan Twitter de un modo muy efectivo a modo de servidor  de control y comandos. Frente a esta problemática no es probable que la mayoría de empresas bloquee sus conexiones a Twitter, mientras que éstas no parecen ser vistas como enlaces maliciosos. Resulta menos sospechoso cuando podemos ver el tráfico que se genera en Twitter”, señala Steve Ledzian, director de ingeniería de sistema de FireEye en Asia.

Los hackers remiten instrucciones a Hammertoss a través de un tuit que contiene un URL y un hashtag. El URL lleva a la imagen de otro servidor que contiene datos encriptados utilizando taquigrafía, un método empleado para esconder datos comprometedores a través de una imagen o fichero. “Dicho hashtag contiene el tamaño del fichero de la imagen y unos pocos caracteres que han de ser añadidos a la clave de desencriptación, contenida en el interior de Hammertoss”, asegura Ledzian.