Descubren nodo malicioso de Tor que infectaba las computadoras de sus usuarios

A través de su blog, la firma de seguridad Leviathan Security publicó el descubrimiento de un nodo malicioso de Tor que durante un año infectó los ejecutables de Windows de sus víctimas, instalando un backdoor y dando así el control total de sus sistemas.

El nodo, ubicado en Rusia, se cerró hace 3 semanas, pero Leviathan Security descubrió que su operación duró más de un año. Por su parte, la firma de antivirus F-Secure publicó que este nodo está relacionado con un grupo que en 2013 infectó los sistemas de las agencias de gobierno y organizaciones de 23 países con un malware altamente avanzado, que llevó por nombre MiniDuke.

A este nuevo ataque a través de Tor se le llamó OnionDuke, y una de sus características es que monitoreaba distintos servidores, operados por los atacantes, para saber cuándo instalar más malware, mientras que otros componentes robaban las credenciales e información de los equipos infectados.

El aspecto que relaciona a OnionDuke con MiniDuke es que algunos de los canales que el nodo utiliza para canalizar los datos están registrados por la misma persona que obtuvo los canales de MiniDuke.

OnionDuke flowchart

OnionDuke infectaba los ejecutables que pasaban por tráfico no cifrado a través del nodo, empaquetando los archivos dentro de una envoltura que añadía otro ejecutable, el cual creaba una puerta trasera en la computadora de la víctima, y así otorgando el control total de su sistema. Por su parte, los usuarios que utilizaban VPN y aquellos que descargaban sus ejecutables desde un servidor HTTPS fueron inmunes al ataque.

F-Secure asegura que hay evidencia que sugiere que OnionDuke también fue usado en ataques dirigidos contra agencias europeas de gobierno, pero que no han sido capaces de identificar los vectores de infección en este caso. A partir de esto, la forma de seguridad infiere dos posibles estrategias de infección, una masiva que se puede describir como “dispararle a una mosca con un cañón”, usando binarios modificados; y otra que apunta de manera quirúrgica y se asocia con operaciones de amenazas persistentes avanzadas (APT).

Por su parte, los oficiales de Tor siempre han recomendado el uso de una VPN cuando se navegue por este servicio pues, tomando en cuenta la anonimidad, es difícil saber con certeza a qué lugares podemos llegar y si estos son seguros.