«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
8 июня 2017 4653

Oops, they did it again. Хакеры управляют кибератакой через Instagram Бритни Спирс

ESET обнаружила новый инструмент из арсенала кибергруппировки Turla. Хакеры используют вредоносное расширение для Firefox, которое взаимодействует с управляющим сервером через аккаунт Бритни Спирс в Instagram.



Кибергруппа Turla специализируется на операциях кибершпионажа, ее основные цели — правительственные и дипломатические учреждения. Жертвами Turla становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG.

Типичный для Turla метод атаки — watering hole — компрометация сайтов, посещаемых потенциальными жертвами. Эту схему хакеры используют как минимум с 2014 года. Они скомпрометировали ряд сайтов посольств и государственных учреждений по всему миру, включая посольства России в США, Министерства иностранных дел Узбекистана, Киргизстана и Молдовы. Эксперты ESET выявили новую вредоносную программу группы Turla, которая распространяется через взломанные ресурсы под видом расширения.

Когда пользователь заходит на взломанный сайт, ему предлагается установить расширение для Firefox — HTML5 Encoding. Это вредоносное расширение использует интересный способ обращения к управляющему С&С-серверу — через соцсети.

В отличие от ряда вредоносных инструментов, содержащих URL С&С-сервера в коде, HTML5 Encoding получает его адрес извне — из комментариев к определенным постам в Instagram. Образец, изученный в ESET, использовал для этого комментарии к фото Бритни Спирс в ее официальном аккаунте.

Расширение изучает комментарии и вычисляет индивидуальное значение хеша для каждого из них. Обнаружив комментарий с хеш-суммой, равной 183, программа извлекает адрес сервера в виде короткой ссылки, полученной с помощью сервиса Bit.ly.

Получив доступ к командному C&C-серверу, расширение собирает информацию о зараженной системе и передает данные операторам. Программа выполняет следующие типы команд:
  • исполнить произвольный файл в системе
  • загрузить файл на сервер C&C
  • скачать файл с сервера C&C
  • прочитать содержимое директории и переслать список файлов на сервер C&C
Использование социальных сетей в атаках создает дополнительные сложности в построении защиты. Трафик от соцсетей, связанный с деятельностью злоумышленников, сложно отличить от легитимного. Кроме того, метод обеспечивает хакерам большую гибкость — они могут оперативно менять адреса командных серверов и удалять их следы.

Более подробная информация о новом инструменте группировки Turla представлена в блоге ESET на Хабрахабре.

Комментарии

4
Оставьте комментарий!
Игорь Степанов 19 июня 2017 в 23:45 #
А бритни так то ни чего тёлочка 13
Юрий Свиридов 20 июня 2017 в 08:18 #
После того как наркоманить бросила)
Ребята явно , стебанулись хорощшо . Такое в даркнете  запомнят
Антон Тарасов 22 июня 2017 в 12:16 #
Надо признать, что у многих киберпреступников есть чувство юмора 4