Por Hannah Pérez  


El equipo de investigadores de SophosLabs descubrió que los hackers detrás del malware Glupteba están utilizando la red Blockchain de Bitcoin para enviar mensajes secretos.

***

Un grupo de hackers está utilizando la red Blockchain de Bitcoin para enviar mensajes secretos, según reveló una investigación de la firma de ciberseguridad, SophosLabs. Los usos que se le pueden dar a la tecnología Blockchain son muy diversos y el envío de mensajes encriptados es -quizás- uno de sus menos tradicionales.

El informe de SohposLabs en realidad se especializa en estudiar un malware llamado Glupteba. Sin embargo, uno de los descubrimientos más interesantes de este software malicioso es su uso de Blockchain para la comunicación con el centro de comando y control (C&C).

Glupteba opera como “zombie” o bot (abreviatura de robot de software) que permite a los delincuentes cibernéticos que lo operan tener control del mismo de forma remota. Pero este programa malicioso es multifacético. Más que una herramienta de control remoto para delincuentes, Glupteba también incluye una gama de componentes que le permiten servir como rootkit, supresor de seguridad, ladrón de navegador, cryptojacker y hasta mensajería.

Hackers envían mensajes secretos en la Blockchain

La red de Bitcoin tiene una función denominada OP_RETURN que permite a los usuarios encriptar datos como imágenes o documentos. En este sentido, un uso un tanto inusual de la tecnología es que permite un canal de comunicación seguro y secreto, dependiendo de cómo se use.

Glupteba utiliza el hecho de que las transacciones de Bitcoin se registran en la públicamente en Blockchain, una información disponible desde una multitud de fuentes a las que se puede acceder libremente. Al respecto los investigadores explican:

Las ‘transacciones’ de Bitcoin en realidad no tienen que ser sobre dinero: pueden incluir un campo llamado RETURN, también conocido como  OP_RETURN, que es efectivamente un comentario de hasta 80 caracteres.

Y esto fue precisamente lo que aprovecharon los piratas informáticos que operan con este malware. Entre ellos envían mensajes secretos cifrados que requieren de una clave de descifrado AES de 256 bits que está codificada en el programa de malware de Glupteba.

Para descifrarlo, el equipo de SophosLabs recopiló una lista de todos los hashes de transacciones de Bitcoin (ligeramente redactados) asociados con una de las billeteras criptográficas utilizadas por Glupteba como fuente secreta de mensajes. Utilizaron la línea de comandos bx como herramienta de exploración Blockchain:

Dirección de billeteras
Dirección de billeteras

Al realizar una búsqueda detallada de cada una de estas transacciones, el equipo pudo encontrar aquellas que incluían datos  OP_RETURN, es decir, mensajes insertados. Los bytes en los mensajes OP_RETURN son los mensajes secretos. “Este tipo de ‘esconderse a simple vista’ a menudo se conoce como esteganografía“, explica el informe de SophosLabs.

mensajes secretos en Blockchain2

Mensaje final al aplicar la clave de descifrado AES de 256 bits
Mensaje final al aplicar la clave de descifrado AES de 256 bits

Glupteba busca comercializarse entre delincuentes

De acuerdo con el descubrimiento de SophosLabs, los hackers utilizaban esta curiosa característica de Blockchain como un canal de comunicación para recibir información de configuración actualizada del malware. De esta forma, los mensajes les sirven a los atacantes para conocer las próximas instrucciones para actualizar el software malicioso.

Glupteba tiene una larga lista de comandos maliciosos integrados que los delincuentes pueden activar, incluidos los comandos que se explican por sí mismos update-datay upload-fileque se detallan en el informe. Pero también incluye, como con la mayoría de los bots, comandos genéricos downloady runmalware nuevo, lo que significa que incluso si sabe todo sobre Glupteba, no puede predecir en qué se transformará a continuación porque los delincuentes pueden actualizar el malware en ejecución a voluntad“.

Los investigadores también advirtieron que la principal actividad de Glupteba parece ser la minería de criptomonedas. Sin embargo, para la firma de ciberseguridad, el objetivo final de este software malicioso es el de la comercialización masiva. Algunas características como la forma en que los hackers arreglan regularmente los errores internos del malware; o la creación de una gran red de bots de máquinas disponibles fácilmente, sugieren que buscan que sea un producto que otros delincuentes puedan arrendar para distribuir otras formas de malware entre las víctimas.

Andrew Zett, investigador principal de SophosLabs, comentó al respecto al medio ZDNet:

Yo diría que los atacantes de Glupteba están tratando de comercializarse como un proveedor de entrega de malware como servicio a otros fabricantes de malware que valoran la perdurabilidad y el ocultamiento.

Cabe destacar que este malware sigue operando entre víctimas de todo el mundo. La forma más sencilla en que los usuarios pueden protegerse de Glupteba es asegurándose de que esté instalada la actualización de seguridad crítica emitida para proteger contra EternalBlue.

Enviar mensajes en Blockchain

Esta no es la primera vez que un usuario o grupo de personas utiliza la tecnología como método transparente y efectivo de comunicación.

En un caso curioso, en mayo de este año, un minero insertó un mensaje oculto como una declaración de evidencia de que Craig Wright, el autoproclamado Satoshi Nakamoto, no tenía acceso a 145 direcciones que él aseguró le pertenecían durante el caso Kleiman. El mensaje, que no estaba encriptado y dejaba leer claramente “Todos somos Satoshi”, dejaron en claro en ese momento que Wright estaba mintiendo sobre el control de las llaves de un número importante de direcciones.

Asimismo, existen diversos proyectos que se basan en tecnología Blockchain para compartir y guardar mensajes. Por ejemplo, la empresa española Astroland tiene la iniciativa de almacenar recuerdos en la cadena de bloques. La idea es que, características como la inmutabilidad y transparencia de esta tecnología, permite dejarle mensajes a los seres queridos que quedarán hasta el fin de los tiempos.


Lecturas recomendadas


Fuentes: TrustNodes, ZDNet, NakedSecurity

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de  Mika Baumeister on Unsplash