ESEТ: хакеры Turla управляют атакой через Instagram Бритни Спирс

2017-06-09 16:15
ESEТ: хакеры Turla управляют атакой через Instagram Бритни Спирс

ESET обнаружила новый инструмент из арсенала кибергруппировки Turla. Хакеры используют вредоносное расширение для Firefox, которое взаимодействует с управляющим сервером через аккаунт Бритни Спирс в Instagram.

Кибергруппа Turla специализируется на операциях кибершпионажа, ее основные цели – правительственные и дипломатические учреждения. Жертвами Turla становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG.

Типичный для Turla метод атаки – watering hole – компрометация сайтов, посещаемых потенциальными жертвами. Эту схему хакеры используют как минимум с 2014 года. Они скомпрометировали ряд сайтов посольств и государственных учреждений по всему миру, включая посольства России в США, Министерства иностранных дел Узбекистана, Киргизстана и Молдовы. Эксперты ESET выявили новую вредоносную программу группы Turla, которая распространяется через взломанные ресурсы под видом расширения.

Когда пользователь заходит на взломанный сайт, ему предлагается установить расширение для Firefox – HTML5 Encoding. Это вредоносное расширение использует интересный способ обращения к управляющему С&С-серверу – через соцсети.

В отличие от ряда вредоносных инструментов, содержащих URL С&С-сервера в коде, HTML5 Encoding получает его адрес извне – из комментариев к определенным постам в Instagram. Образец, изученный в ESET, использовал для этого комментарии к фото Бритни Спирс в ее официальном аккаунте.

Расширение изучает комментарии и вычисляет индивидуальное значение хеша для каждого из них. Обнаружив комментарий с хеш-суммой, равной 183, программа извлекает адрес сервера в виде короткой ссылки, полученной с помощью сервиса Bit.ly.

Получив доступ к командному C&C-серверу, расширение собирает информацию о зараженной системе и передает данные операторам. Программа выполняет следующие типы команд:

  • исполнить произвольный файл в системе
  • загрузить файл на сервер C&C
  • скачать файл с сервера C&C
  • прочитать содержимое директории и переслать список файлов на сервер C&C

Использование социальных сетей в атаках создает дополнительные сложности в построении защиты. Трафик от соцсетей, связанный с деятельностью злоумышленников, сложно отличить от легитимного. Кроме того, метод обеспечивает хакерам большую гибкость – они могут оперативно менять адреса командных серверов и удалять их следы.

iluki.ru

популярные новости

«Лексус» вылетел с дороги и затонул в болоте: подробности ДТП у плотины в Великих Луках (ФОТО)

Продолжение великолукской трагедии: «…Мы все в страхе, он грозится убить старшую девочку, так как винит ее в смерти брата и матери»

ВИДЕО: Момент гибели десантника в Псковской области

ФОТО 18+ с места смертельного наезда на пешехода в Невеле

ФОТОфакт: Вечернее ДТП в Великих Луках

По факту операции, проведённой в Невельской больнице, Следственный комитет начал проверку

Мёртвая женщина с палками для скандинавской ходьбы в руках обнаружена в Невельском районе

Стали известны подробности наезда на пешехода в Великих Луках

Подробности: двойная смерть гражданских супругов в Великих Луках

Диагноз и уточнения: в Великих Луках в ДТП пострадала 10-летняя девочка (ФОТО)

Подпишись на канал