(Afbeelding via Eset/Instagram)
Een beruchte hacken van de groep is met behulp van een roman (al is het dan niet nieuwe) benadering bevel en controle malware gebruikt om aanvallen te lanceren tegen de regeringen en legers — door het verlaten van speciaal gemaakte opmerkingen op Britney Spears’ Instagram-account.
Beveiliging onderzoekers van Eset ontdekte dat het hacken van de groep, die bekend staat als Turla, maakt gebruik van recent ontdekte backdoor gevonden in een nep-Firefox-extensie door het verlaten van sociale media opmerkingen voor iedereen te zien. De opmerkingen, links op de Instagram-account, kunnen goedaardige de meeste mensen, maar zijn gemaakt op een zodanige wijze dat het mogelijk maakt de malware om te leren van de locatie van de hedendaagse commando server zonder argwaan te wekken.
Nadat de reactie is links, de backdoored extensie weet waar te kijken op het internet om te kijken voor instructies over wat te doen — zoals te leveren ransomware of het stelen van wachtwoorden, bijvoorbeeld.
Dit is de nieuwste hack poging van Turla, een tien jaar oude advanced persistent threat groep gedacht te worden geassocieerd met de russische hackers, met een voorliefde voor het richten van buitenlandse ambassades. Tot op heden heeft de groep geïnfecteerde honderden netwerken systemen in de afgelopen jaren in tientallen landen, waaronder China, Vietnam, de VS — en zelfs Rusland.
Maar de groep werd geconfronteerd met een uitdaging. Om detectie te vermijden, de opdracht server kan niet blijven in een plaats te lang, maar de malware nog moet weten waar het te vinden. Plaats van het hard coderen van het adres van de opdracht server naar de malware, de uitbreiding zal het berekenen van het adres van de commando-server met behulp van een formule.
De onderzoekers uitgelegd:
“De uitbreiding maakt gebruik van een bit.ly-URL te bereiken zijn [server], maar het URL-pad is nergens te vinden in de uitbreiding code. In feite, zal het verkrijgen van dit pad door het gebruik van de commentaren op een specifieke Instagram post,” de onderzoekers gezegd.
“De een die werd gebruikt in de geanalyseerde steekproef was een opmerking over een foto geplaatst op de Britney Spears officiële Instagram-account,” ze toegevoegd. “De uitbreiding zal bij elke foto is commentaar en wordt het berekenen van een aangepaste hash waarde.”
In andere woorden, de malware ziet er voor een bepaald nietsvermoedende reactie op een Instagram post, die, wanneer ze worden omgerekend naar een cryptografische hash, kan worden omgezet in het web adres waar de opdracht server ligt.
“Het feit dat de Turla actoren zijn in het gebruik van sociale media als een manier om het verkrijgen van de [opdracht servers] is heel interessant,” de onderzoekers gezegd. “Dit gedrag is al in het verleden waargenomen door andere bedreiging bemanningen zoals de Hertogen.”
De onderzoekers toegevoegd dat maakt het moeilijk om ter plaatse, in de eerste plaats omdat het verkeer ziet eruit als iemand anders, en ten tweede omdat de flexibiliteit van het wijzigen van het adres aan de opdracht server, en het wissen van sporen.
Op het moment van eerste publicatie, het bit.ly link was net 17 klikken, wat de onderzoekers zeggen “zou erop kunnen wijzen dat het was slechts een test uit te voeren.”
“We geloven dat dit een soort van test, de volgende versie van de extensie — als er sprake is van een-waarschijnlijk zeer verschillend. Er zijn verschillende Api ‘ s die worden gebruikt door de uitbreiding zal verdwijnen in de toekomstige versies van Firefox,” de onderzoekers gezegd.