(Bild via Eset/Instagram)
En ökänd hacka gruppen är att använda en ny (om än inte nya) tillvägagångssätt för att befalla och styra skadlig kod man använder för att lansera attacker mot regeringar och militärer — genom att lämna speciellt utformad kommentarer på Britney Spears’ s Instagram-konto.
Säkerhet forskare vid Eset fann att hacka grupp, känd som Turla, är att utnyttja nyligen upptäckt bakdörr som finns i en falsk Firefox genom att lämna sociala medier kommentarer för alla att se. De kommentarer som lämnas på Instagram-konto, kan visas godartade att de flesta människor, men är utformad på ett sådant sätt som gör att skadlig kod för att lära sig var den ambulerande kommando till servern utan att väcka misstanke.
När kommentaren som är kvar, backdoored förlängning vet var du ska leta på internet för att leta efter instruktioner på vad du ska göra nästa — såsom att leverera ransomware eller stjäla lösenord, till exempel.
Detta är den senaste hacking strävan Turla, en tio år gammal avancerade ihållande hot grupp som tros ha samband med ryska hackare, med en förkärlek för inriktning på utländska ambassader. Hittills har gruppen smittade hundratals nätverk-system under de senaste åren över dussintals länder, inklusive Kina, Vietnam, USA — och till och med Ryssland.
Men gruppen stod inför en utmaning. För att undvika upptäckt, kommando till servern inte kan stanna på ett ställe för länge, men det skadliga programmet är fortfarande i behov av att veta var man ska hitta det. Snarare än att hårdkoda adress kommando-server i det skadliga programmet, förlängningen kommer att beräkna adressen till kommando till servern med hjälp av en formel.
Forskarna förklarade:
“Extension använder en bit.ly-URL för att nå sin [server], men URL-sökvägen är ingenstans att hittas i förlängningen kod. I själva verket kommer det att få denna väg genom att använda kommentarer på en specifik Instagram inlägg,” forskarna säger.
“Den som användes i de analyserade prov var en kommentar om ett foto som skickas till Britney Spears officiella Instagram-konto,” tillade de. “Förlängningen kommer att titta på varje foto kommentar och kommer att beräkna en egen hash-värde.”
Med andra ord, skadlig kod ser ut för en viss intet ont anande kommentar på ett Instagram inlägg, som när det omvandlas till en kryptografisk hashfunktion, som kan omvandlas till en webbadress där kommando till servern är belägen.
“Det faktum att Turla aktörer använder sig av sociala medier som ett sätt för att få sin [kommando servrar] är ganska intressant,” forskarna säger. “Detta har redan konstaterats i tidigare av andra hot besättningar som Hertigarna.”
Forskarna menade att det gör det svårt att hitta, för det första eftersom trafiken ser ut som någon annans, och för det andra på grund av flexibiliteten att ändra adressen till kommando till servern, och tar bort alla spår av det.
Vid tiden för den ursprungliga publiceringen, den lite.ly länk hade bara 17 klick, som forskarna säger att “kan tyda på att det bara var ett test köra.”
“Även om vi tror att detta är någon typ av test, nästa version av tillägget — om det-är sannolikt att vara mycket olika. Det finns flera Api: er som används av den utvidgning som kommer att försvinna i framtida versioner av Firefox,” forskarna säger.