Статьи

ESEТ: хакери Turla керують атакою через Instagram Брітні Спірс

ESET виявила новий інструмент з арсеналу кібер-угруповання Turla. Хакери використовують шкідливе розширення для Firefox, яке взаємодіє з керуючим сервером через акаунт Брітні Спірс в Instagram.

Хакери використовують шкідливе розширення для Firefox, яке взаємодіє з керуючим сервером через акаунт Брітні Спірс в Instagram

Кібергруппа Turla спеціалізується на операціях кібершпіонажу, її основні цілі - урядові та дипломатичні установи. Жертвами Turla ставали великі організації з Європи і США, в 2016 році хакери провели атаку на швейцарський оборонний холдинг RUAG.

Типовий для Turla метод атаки - watering hole - компрометація сайтів, відвідуваних потенційними жертвами. Цю схему хакери використовують як мінімум з 2014 року. Вони скомпрометували ряд сайтів посольств і державних установ по всьому світу, включаючи посольства Росії в США, Міністерства закордонних справ Узбекистану, Киргизстану та Молдови. Експерти ESET виявили нову шкідливу програму групи Turla, яка поширюється через зламані ресурси під виглядом розширення.

Коли користувач заходить на зламаний сайт, йому пропонується встановити розширення для Firefox - HTML5 Encoding. Це шкідливе розширення використовує цікавий спосіб звернення до керуючого З & З-сервера - через соцмережі.

На відміну від ряду шкідливих інструментів, що містять URL З & З-сервера в коді, HTML5 Encoding отримує його адресу ззовні - з коментарів до певних посад в Instagram. Зразок, вивчений в ESET, використовував для цього коментарі до фото Брітні Спірс в її офіційному акаунті.

Розширення вивчає коментарі і обчислює індивідуальне значення хешу для кожного з них. Виявивши коментар з хеш-сумою, рівної 183, програма витягує адресу сервера у вигляді короткої посилання, отриманої за допомогою сервісу Bit.ly.

Отримавши доступ до командного C & C-сервера, розширення збирає інформацію про зараженій системі і передає дані операторам. Програма виконує наступні типи команд:

  • виконати довільний файл в системі
  • завантажити файл на сервер C & C
  • скачати файл з сервера C & C
  • прочитати вміст директорії і переслати список файлів на сервер C & C

Використання соціальних мереж в атаках створює додаткові складності в побудові захисту. Трафік від соцмереж, пов'язаний з діяльністю зловмисників, складно відрізнити від легітимного. Крім того, метод забезпечує хакерам велику гнучкість - вони можуть оперативно змінювати адреси командних серверів і видаляти їх сліди.

Більш детальна інформація про новий інструмент угруповання Turla представлена в блозі ESET на Хабрахабр .

Новости