(Bild via Eset/Instagram)
Die berüchtigte Hacker-Gruppe ist mit einem neuartigen (wenn auch nicht neuer) Ansatz für die kommandierung und Steuerung von malware verwendet zum starten Angriffe gegen Regierungen und Militärs — durch Abgabe speziell gestaltete get Kommentare über Britney Spears’ Instagram-Konto.
Sicherheits-Forscher bei Eset gefunden, dass die Hacker-Gruppe, bekannt als Turla, nutzt den kürzlich entdeckten backdoor findet sich in einer gefälschten Firefox-Erweiterung, durch verlassen der social-media-Kommentare für jedermann zu sehen. Die Kommentare, die Links auf dem Instagram-Konto, erscheinen die gutartigen von den meisten Menschen, aber sind in Handarbeit in einer solchen Weise, dass es ermöglicht die malware zu lernen, die Lage der rovings Befehl server ohne mitreißende Verdacht.
Sobald Sie den Kommentar Links, die backdoored extension weiß, wo im internet suchen, suchen Sie nach Anweisungen, was als Nächstes zu tun ist — wie zu liefern, ransomware oder zu stehlen Passwörter, zum Beispiel.
Dies ist die neueste hacking bemühen Turla, eine zehn Jahre alte advanced persistent threat group, dachte zugeordnet werden russische Hacker, mit einer Vorliebe für die Ausrichtung der ausländischen Botschaften. Bisher hat die Gruppe infiziert Hunderte von Netzwerken, Systemen, die in den letzten Jahren über Dutzende von Ländern, darunter China, Vietnam, den USA-und sogar Russland.
Aber die Gruppe war vor einer Herausforderung. Um eine Erkennung zu vermeiden, ist der command-server kann nicht bleiben an einem Ort für zu lange, aber die malware muss noch wissen, wo es zu finden ist. Anstatt hard-Kodierung die Adresse des Servers in die malware, die Erweiterung berechnet die Adresse des command-Servers mit Hilfe einer Formel.
Die Forscher erklärten:
“Die Erweiterung wird ein bisschen.ly-URL zu erreichen sein [server], aber der URL-Pfad ist nirgends zu finden im extension-code. In der Tat, es wird erhalten, in diesem Pfad, mit Kommentare auf eine bestimmte Instagram-post,” sagte der Forscher.
“Die, die verwendet wurde in der analysierten Probe wurde einen Kommentar über ein Foto veröffentlicht, auf dem Britney Spears offiziellen Instagram-account,” fügten Sie hinzu. “Die Erweiterung wird der Blick auf die einzelnen Fotos kommentieren und berechnen Sie eine benutzerdefinierte hash-Wert.”
In anderen Worten, die malware sieht für einen bestimmten ahnungslosen Kommentar zu einem Instagram-post, die, wenn Sie Umgerechnet auf eine kryptographische hash umgewandelt werden kann in die web-Adresse, wo Sie den Befehl server liegt.
“Die Tatsache, dass die Turla Akteure mit social media als ein Weg, um [cmd-Server] ist ziemlich interessant”, sagte der Forscher. “Dieses Verhalten ist bereits beobachtet worden, die in der Vergangenheit andere Bedrohung Mannschaften wie die Fürsten.”
Die Forscher fügte hinzu, dass es macht es schwer zu erkennen, Erstens, weil der Verkehr sieht, wie jemand anderes, und zweitens wegen der Flexibilität der änderung der Adresse auf dem command-server, und löschen jede Spur von ihm.
Zum Zeitpunkt der ersten Veröffentlichung der bit.ly link hatte nur 17 Klicks, die die Forscher sagen, “könnte darauf hinweisen, dass es war nur ein Testlauf.”
“Während wir glauben, dass dies einige Art von test, die nächste version des extension — wenn es einer ist-ist wahrscheinlich sehr unterschiedlich sein. Es gibt verschiedene APIs, die verwendet werden, durch die Erweiterung, verschwindet Sie in zukünftigen Versionen von Firefox,” sagte der Forscher.