(Billede via Eset/Instagram)
En berygtet hacking gruppen er ved hjælp af en roman (omend ikke nye) tilgang til at kommandere og kontrollere malware, som den bruger til at iværksætte angreb mod regeringer og militær — ved at forlade specielt udformet kommentarer på Britney Spears’ Instagram-konto.
Sikkerhed forskere på Eset fandt, at hacking gruppe, kendt som Turla, er at udnytte for nylig opdaget, bagdør, der findes i en falsk Firefox-udvidelse, der forlader social media kommentarer for at se alle. Kommentarer, der efterlades på Instagram konto, kan forekomme godartede at de fleste mennesker, men er udformet på en sådan måde, der gør det muligt for malware at lære placeringen af roving kommando til serveren uden at vække mistanke.
Når kommentaren er venstre, backdoored udvidelse ved hvor man skal lede på internettet for at lede efter anvisninger af, hvad de skal gøre næste, — således, at levere ransomware eller stjæle passwords, for eksempel.
Dette er den seneste hacking bestræbelse Turla, en ti år gammel advanced persistent threat gruppe menes at være forbundet med russiske hackere, med en forkærlighed for rettet mod udenlandske ambassader. Til dato har gruppen inficeret hundredvis af netværk systemer i de sidste par år på tværs af snesevis af lande, herunder Kina, Vietnam, USA-og selv Rusland.
Men gruppen blev konfronteret med en udfordring. For at undgå afsløring, kommando til serveren ikke kan holde på ét sted for længe, men den malware stadig behov for at vide, hvor man kan finde det. Snarere end hard-coding adresse kommando til serveren i den malware, udvidelse vil beregne adresse kommando til serveren ved hjælp af en formel.
Forskerne forklarede:
“Udvidelsen bruger en smule.ly URL for at nå sine [server], men den URL-sti er ikke at finde i forlængelse kode. I virkeligheden, vil det få dette sti ved hjælp af kommentarer på en bestemt Instagram indlæg,” siger forskerne.
“Den ene, der blev brugt i den analyserede prøve var en kommentar om et foto sendt til Britney Spears officielle Instagram konto,” tilføjer de. “Udvidelsen vil se på hvert enkelt foto’ s kommentar, og vil beregne en brugerdefineret hash-værdi.”
Med andre ord, malware søger et bestemt intetanende kommentar på et Instagram indlæg, som, når den omregnes til en kryptografisk hash, kan blive konverteret til den web-adresse, hvor kommando til serveren er placeret.
“Det faktum, at Turla aktører bruger sociale medier som en måde at få sin [kommando-servere], er ret interessant,” siger forskerne. “Dette problem er allerede blevet observeret i de seneste af andre trussel besætninger som Hertuger.”
Forskerne tilføjede, at det gør det svært at få øje på, for det første fordi trafikken ligner nogen andens, og for det andet på grund af fleksibiliteten i at ændre den adresse, kommando til serveren, og sletter alle spor af det.
På tidspunktet for den første offentliggørelse, bit.ly link var bare 17 klik, som forskerne siger, “kunne tyde på, at det kun var en test køre.”
“Mens vi mener, at dette at være en form for test, den næste version af udvidelsen — hvis der er en, – er tilbøjelige til at være meget forskellige. Der er flere Api ‘ er, som anvendes af den udvidelse, der vil forsvinde i fremtidige versioner af Firefox,” siger forskerne.