Een bende hackers die vermoedelijk afkomstig is uit Rusland, is verantwoordelijk voor een reeks aanvallen op veel computers die hebben geleid tot het verlies van verschillende gegevens, volgens een rapport van beveiligingsprovider FireEye.
Het rapport stelt vast dat de aanvallers een combinatie van versleutelde online foto’s en webadressen die via Twitter werden gedeeld, gebruikten om de malware genaamd Hammertoss de aanval te laten uitvoeren. De malware is ontwikkeld om automatisch Twitter-accounts aan te maken om webadressen en tags te delen die informatie bevatten over de grootte van de gebruikte foto en de locatie ervan.
Hackers verbergen hun instructies door ze in afbeeldingen in te sluiten en de codes op GitHub op te slaan. Daarbij konden ze computergegevens van meerdere slachtoffers stelen.
Dit is hoe Hammertoss-malware werkt: de schadelijke software uploadde gegevens naar de cloudopslagaccounts van hackers vanaf de computers van slachtoffers op basis van verborgen en versleutelde opdrachten. De techniek die werd gebruikt om de opdrachten te versleutelen was steganografie, een methode om de waarden (reeksen letters en cijfers) te wijzigen die de kleur van een enkele pixel in een foto vertegenwoordigen.
Met het blote oog zou het moeilijk zijn om deze kleine veranderingen in een pixel waar te nemen, zozeer zelfs dat het verschil tussen het origineel en het gewijzigde beeld verwaarloosbaar zou zijn. Maar geavanceerde softwaretools kunnen nu het verschil zien.
Door de wijzigingen in de numerieke codes aan te brengen, kunnen hackers een bericht maken dat vervolgens opdrachten met snode doeleinden zou verzenden.
Gemeenschappelijke antivirussoftware zou niet nuttig zijn bij het detecteren van malware-activiteit vanwege de verschillende onderdelen die in Hammertoss-malware zijn ingebouwd. Dit maakt het uiteindelijk moeilijk voor beveiligingsafdelingen om dreigingen en hackeraanvallen te bestrijden.
Het is nu de taak van netwerkserviceproviders om het verschil in commando- en controlecommunicatieactiviteiten te herkennen en te herkennen, als zich ooit iets anders dan het gewone manifesteert. Dat betekent onderscheid maken tussen legitiem en onwettig netwerkverkeer.
Elk type softwaretool alleen zou niet voldoende zijn om bescherming te bieden tegen de aanval, daarom bevelen beveiligingsexperts een samenwerking aan tussen human resources, technologie en informatie over de aanval om de impact ervan te beperken.
De geavanceerde tool in kwestie werkt om zijn doel te lokaliseren en het bestemmingsnetwerk te bepalen waarnaar de gegevens worden verzonden. Het zou alleen mogelijk zijn om Hammertoss te detecteren als de volledige code aanwezig is.
