Die Phantasie von Cyber-Kriminellen kennt keine Grenzen. Jetzt ist Turla-Cyber-Hackergruppe damit aufgefallen, dass sie Malware über Kommentare in sozialen Medien wie Instagram steuert.
Anzeige
Die Turla-Gruppe
Die Cyberspionage-Gruppe Turla attackiert seit 2007 Regierungen sowie Regierungsvertreter und Diplomaten. Möglicherweise stecken staatliche Stellen hinter dieser Gruppe, die schon mal Satellitenkommunikation für Operationen nutzen (siehe hier). Generell sind die Angriffe recht ausgebufft (siehe z.B. diesen Artikel).
Die Taktik der Turla-Gruppe besteht üblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern häufiger aufgerufen werden – sogenannte „Watering-Hole-Attacken". Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können.
Social Media zur Kommunikation
Das Problem der Malware: Sie muss irgendwann mit den Command-and-Control-Server (C&C) kommunizieren. Dieser Kommunikationskanal ermöglicht es Sicherheitsforschern die Angriffe nachzuverfolgen und zu analysieren. Diese überwachen speziell kompromittierte Webseiten, die für die Kommunikation mit den C&C-Servern genutzt wurden.
Was macht man, wenn man diese Kommunikation verschleiern möchte? Bei der Beobachtung aktueller Turla-Kampagnen fiel den Forschern von ESET eine neue Angriffsmethode auf. Zur Kommunikation mit den C&C-Servern wurde deren URL in Form einer Bitly-Kurz-URL übermittelt.
Anzeige
Die Informationen über die URL der betreffenden C&C-Server werden dabei nicht auf kompromittierten Webseiten oder in der Malware, sondern in Kommentaren zu Instagram-Postings von Prominenten wie Britney Spears abgelegt.
Analysieren Sicherheitsforscher die Malware, fallen Zugriffe auf populäre Instagram-Konten nicht sofort auf. Erst durch Analyse der kompletten Kommunikation konnte der Angriff erkannt werden.
Um die Bitly-URL des C&C-Servers zu ermitteln, durchsucht die Malware über eine (JavaScript-) Firefox-Erweiterung alle Instagram-Kommentare.
(Quelle)
Das obige Foto zeigt einen solchen unverfänglichen Kommentar. Die Sicherheitsforscher von ESET lösen in diesem Blog-Beitrag den benutzten Ansatz auf. Die Firefox Erweiterung geht alle Foto-Kommentare durch und berechnet je einen Hash-Wert. Wenn der Hash mit 183 übereinstimmt, wird der folgende reguläre Ausdruck auf den Kommentar angewendet, um den Pfad der bit.ly URL zu erhalten:
(?:\\u200d(?:#|@)(\\w)
Unter allen Kommentaren unter dem Anfang Januar 2017 geposteten Originalfoto gibt es nur einen Kommentar, der diesen Hash aufweist. Dieser Kommentar wurde am 6. Februar veröffentlicht. Im Kommentartext stecken noch einige nicht darstellbare Zeichen, die dem menschlichen Beobachter verborgen bleiben. Über den regulären Ausdruck wird entweder nach @ | # oder nach dem Unicode-Zeichen \ 200d gesucht. Dieses letztgenannte Unicode-Zeichen ist eigentlich ein non-printable character namens ‚Zero Width Joiner'. Normalerweise wird er verwendet, um emojis zu trennen. Das Einfügen des eigentlichen Kommentars oder das Betrachten der Quelle verdeutlicht, dass der non-printable character dazu verwendet wird, jedes einzelne Zeichen des bit.ly-Pfads anzuzeigen:
smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X
Nimmt man den obigen Kommentar und führt ihn im RegEx aus, erhält man folgende bit.ly URL:
http://bit.ly/2kdhuHX
Die Auflösung des bit.ly-Links führt zur URL static[.]travelclothes[.]org/dolR_1ert[.]php, einem schon in der Vergangenheit benutzten Watering Hole C&C-Server. Im Blog-Post gehen die ESET-Sicherheitsforscher noch auf eine Reihe Details ein. Bei bit.ly-Kurz-URLs kann man beispielsweise sehen, wie häufig ein Link aufgerufen wurde. Aktuell könnte es sich um einen Testlauf handeln, da nur wenige Zugriffe über die bit.ly-Kurz-URL erfolgten.
Die Firefox-Erweiterung implementiert eine einfache Backdoor, die zunächst Informationen über das laufende System sammelt und diese dann AES-verschlüsselt an den C&C-Server sendet. Da der Firefox in der Version 57 diese Art Erweiterung nicht mehr lädt, geht man davon aus, dass das alles nur ein Testlauf war. Weitere Details lassen sich im ESET-Blog-Beitrag nachlesen.
Anzeige