英国安全研究人员Paul Amar打造出一款工具,能够利用推特(Twitter)私信(DMs)操控僵尸网络。
这款工具名为Twittor。该工具仅仅是一套简单的Python脚本,其能够利用Twitter API以及相关服务选项引导受害者向其他用户发出消息。这款工具可以使得僵尸网络运营者对自己的基础设施加以管理,且不必将行为暴露在其Twitter页面当中。
软件工作原理
Twittor允许黑客们创建Twitter账户,设置Twitter应用并获取API证书,并将这一切纳入到一套恶意Python脚本当中。该脚本则可以在部署完成之后操纵僵尸网络向主Twitter账户发出请求,或者向僵尸网络中的肉鸡设备发送请求。这样黑客就可以获取成千上万的用户资料信息。
Twitter方面于今年8月解除了私信长度不得超过140个字符的限制,因此恶意人士能够在无需向同一肉鸡目标发送多条私信的前提下传输更为复杂的控制程序。
据统计Twitter为每个账号设定了每天1000条私信的数量上限,因此犯罪分子只能通过少数由Twittor支持的主账户对成千上万肉鸡客户端进行控制。
该种情况不是第一次
但 这已经不是我们第一次听闻Twitter被用于管理僵尸网络的消息了。今年7月,曾有媒体报道过APT29网络攻击事件,该组织通过HAMMERTOSS恶意软件利用Twitter账户控制整套僵尸网络体系的运作。
有安全人员表示:
“恶意攻击者可以使用的私人账号进行恶意攻击,网上已经出现了该恶意软件工具包。”
而作为相当少见的特殊情况,黑客们甚至使用了公开推文进行恶意活动。如果Twittor当时就已经出现,那么该组织的犯罪行为将很难被检测出来,因为他们不需要以公开方式发送相关控制程序。
该工具仅供学习和研究使用(Twittor-点我)
APT29及Hammertoss相关资料
有网络安全专家分析称该组织为一个俄罗斯或与俄罗斯有关的黑客组织,原因是它仅在莫斯科时间的正常工作日活跃,而且它在俄罗斯节假日期间并不活跃。APT 29的主要专注于攻陷政府组织机构,并收集与俄罗斯相关的地理政治信息,由此专家认为APT 29是一个受政府支持的黑客组织。
APT 29过去曾使用的一款恶意软件名称为Hammertoss,Hammertoss执行一种每天可生成新推文的算法,通过这种方式命令和控制服务器就能够通过使用由APT 29管理的具体推特账户与Hammertoss通信。之后Hammertoss可以通过推特、GitHub以及云存储服务传达命令并从被攻陷网络中提取数据。