Hackers russos estão utilizando o Twitter para mascarar roubo de dados

Por Redação | 29 de Julho de 2015 às 12h12

Um suposto grupo de hackers russos está utilizando o Twitter para mascarar um malware de roubo de dados, segundo informa a empresa especializada em segurança digital FireEye. As informações coletadas pela instituição mostram que os hackers têm utilizado serviços de redes sociais para retransmitir comandos para o seu malware.

A FireEye afirma que este grupo, conhecido como APT-29, está trabalhando em um novo nível, o que torna muito difícil a detecção da ameaça por empresas de segurança digital. Analistas da FireEye encontraram o malware, apelidado de Hammertoss, em uma das redes de seus clientes no início deste ano e, a partir de então, a empresa tem notado que o grupo APT-29 está tomando medidas para tentar mascarar a sua comunicação com o Hammertoss e evitar uma possível detecção.

O Hammertoss possui um algoritmo que gera uma nova conta no Twitter todos os dias. Para se comunicar com o malware, o grupo de hackers registra uma conta no Twitter para tentar entrar em contato com o malware, fazendo da rede de microblogs um servidor de comando e controle. A ideia por trás disso é que os cibercriminosos sabem que as empresas em geral não fazem nenhum bloqueio em conexões de saída para o Twitter e que conexões suspeitas não são susceptíveis a serem encaradas como mal-intencionadas.

Os hackers publicam instruções para o Hammertoss através de um tuíte, que contém uma URL e uma hashtag. A URL redireciona para uma imagem em outro servidor que contém dados criptografados usando estenografia, um método para esconder dados ocultos em uma imagem ou arquivo. Já a hashtag contém o tamanho do arquivo da imagem, bem como algumas informações a serem adicionadas à chave de decodificação armazenada dentro do Hammertoss a fim de visualizar o conteúdo, explica o diretor de engenharia de sistemas da FireEye na Ásia, Steve Ledzian.

A FireEye tem estudado algumas das instruções para instalação do Hammertoss que foram compostas por comandos codificados do PowerShell e instruções para armazenamento de conteúdo roubado em serviços de nuvem. Os atacantes nem sempre registram contas no Twitter para se comunicarem com o Hammertoss. Se uma conta não é registrada, o malware simplesmente espera outro dia para verificar se há alguma comunicação com ele.

Todo esse procedimento dificulta a vida dos especialistas em segurança, visto que eles precisam ter acesso ao Hammertoss para identificar e monitorar as novas contas no Twitter. Se alguém notar algo suspeito e seguir o link postado no tuíte, simplesmente irá se deparar com uma imagem. Os agressores também optam por excluir rapidamente o tuíte que o Hammertoss lê, o que tornaria o ataque ainda mais difícil de ser investigado.

O Hammertoss também toma outras medidas para continuar oculto, de acordo com Ledzian. Normalmente, ele só entra em ação durante um dia normal de trabalho, o que torna seu tráfego menos perceptível. "É muito mais fácil se esconder do ruído", disse Ledzian.

Há uma suspeita de que o grupo APT-29 seja russo, uma vez que se encontra ativo durante as horas de trabalho em Moscou. Além disso, nos feriados russos o grupo encontra-se inativo. A FireEye afirmou que o grupo tem provado ser bastante prudente na cobertura de seus rastros, mascarando suas atividades modificando rapidamente suas ferramentas e combatendo tentativas de remediação.

Ledzian diz que o grupo parece estar focado principalmente em se infiltrar em organizações governamentais e recolher informações geopolíticas relacionadas com a Rússia, o que o torna um grupo provavelmente próximo ao governo russo. "É por isso que acredito que eles são de alguma forma associado ao governo russo ou apenas estão trabalhando com a Rússia", conclui o engenheiro.

Via PCWorld

Fonte: http://www.pcworld.com/article/2954192/russian-hackers-use-twitter-to-mask-sneaky-data-theft.html#tk.rss_all

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.