(Immagine via Eset/Instagram)
Un noto gruppo di hacker utilizza un romanzo (anche se non nuova) di comando e controllo malware utilizza per lanciare attacchi contro i governi e le forze armate — lasciando appositamente predisposto commenti su Britney Spears’ Instagram account.
Alcuni ricercatori Eset trovato che il gruppo di hacker, conosciuto come Turla, sfruttando recentemente scoperto backdoor trovato in un falso estensione per il browser Firefox, lasciando i social media commenti per tutti da vedere. I commenti, a sinistra su Instagram account, possono essere benefico per la maggior parte delle persone, ma sono predisposti in modo tale da consentire il malware per imparare la posizione di roving server di comando senza travolgente sospetto.
Una volta che il commento è di sinistra, il backdoored estensione sa dove cercare su internet per cercare le istruzioni su cosa fare — come consegnare ransomware o rubare le password, per esempio.
Questo è l’ultimo tentativo di hacking Turla, dieci anni fa e un advanced persistent threat gruppo pensato per essere associato con hacker russi, con un debole per il targeting ambasciate straniere. Ad oggi, il gruppo ha infettato centinaia di reti di sistemi, negli ultimi anni, in decine di paesi, tra cui Cina, Vietnam, USA — e anche in Russia.
Ma il gruppo si trova ad affrontare una sfida. Al fine di evitare il rilevamento, il server di comando non può stare in un posto troppo a lungo, ma il malware ha ancora bisogno di sapere dove trovarlo. Invece di codificare l’indirizzo del server di comando il malware, l’estensione per calcolare l’indirizzo del server di comando utilizzando una formula.
I ricercatori hanno spiegato:
“L’estensione utilizza un po’.ly URL per raggiungere il suo [server], ma il percorso dell’URL è in nessun posto essere trovato nel codice di estensione. Di fatto, ottenere questo percorso utilizzando i commenti pubblicati su un determinato Instagram post,” i ricercatori hanno detto.
“Quello che è stato utilizzato nel campione analizzato è stato un commento su una foto postata per Britney Spears official Instagram account,” hanno aggiunto. “L’estensione guarda le foto di commento e il calcolo personalizzato del valore hash.”
In altre parole, il malware cerca di un particolare ignari commento su Instagram post, che, se convertito in un hash crittografico, può essere convertito in l’indirizzo web a cui il server di comando si trova.
“Il fatto che il Turla attori utilizzano i social media come un modo per ottenere il suo [server di comando] è molto interessante,” i ricercatori hanno detto. “Questo comportamento è già stato osservato in passato da altre minacce crew come i Duchi.”
I ricercatori hanno aggiunto che rende difficile individuare, in primo luogo, perché il traffico sembra come chiunque altro, e in secondo luogo perché la flessibilità di cambiare l’indirizzo del server di comando e la cancellazione di qualsiasi traccia di esso.
Al momento della prima pubblicazione, il bit.ly link aveva appena 17 scatti, che i ricercatori dicono che “potrebbe indicare che era solo un test.”
“Mentre noi crediamo che questo sia un qualche tipo di prova, la prossima versione dell’estensione — se c’è uno-è probabile che sia molto diverso. Ci sono molte Api che vengono utilizzati dall’estensione che scompaiono nelle future versioni di Firefox”, i ricercatori hanno detto.