{"id":191164,"date":"2017-06-07T17:26:06","date_gmt":"2017-06-07T15:26:06","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191164"},"modified":"2022-09-18T20:28:59","modified_gmt":"2022-09-18T18:28:59","slug":"turla-hacker-steuern-malware-ber-instagram-kommentare","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/07\/turla-hacker-steuern-malware-ber-instagram-kommentare\/","title":{"rendered":"Turla-Hacker steuern Malware über Instagram-Kommentare"},"content":{"rendered":"

Die Phantasie von Cyber-Kriminellen kennt keine Grenzen. Jetzt ist Turla-Cyber-Hackergruppe damit aufgefallen, dass sie Malware \u00fcber Kommentare in sozialen Medien wie Instagram steuert.<\/p>\n

<\/p>\n

Die Turla-Gruppe<\/h2>\n

Die Cyberspionage-Gruppe Turla attackiert seit 2007 Regierungen sowie Regierungsvertreter und Diplomaten. M\u00f6glicherweise stecken staatliche Stellen hinter dieser Gruppe, die schon mal Satellitenkommunikation f\u00fcr Operationen nutzen (siehe hier<\/a>). Generell sind die Angriffe recht ausgebufft (siehe z.B. diesen Artikel<\/a>).<\/p>\n

Die Taktik der Turla-Gruppe besteht \u00fcblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern h\u00e4ufiger aufgerufen werden \u2013 sogenannte \u201eWatering-Hole-Attacken<\/a>\". Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, \u00fcber den die Ger\u00e4te der Opfer Befehle empfangen und \u00fcberwacht werden k\u00f6nnen.<\/p>\n

Social Media zur Kommunikation<\/h2>\n

Das Problem der Malware: Sie muss irgendwann mit den Command-and-Control-Server (C&C) kommunizieren. Dieser Kommunikationskanal erm\u00f6glicht es Sicherheitsforschern die Angriffe nachzuverfolgen und zu analysieren. Diese \u00fcberwachen speziell kompromittierte Webseiten, die f\u00fcr die Kommunikation mit den C&C-Servern genutzt wurden.<\/p>\n

Was macht man, wenn man diese Kommunikation verschleiern m\u00f6chte? Bei der Beobachtung aktueller Turla-Kampagnen fiel den Forschern von ESET eine neue Angriffsmethode auf. Zur Kommunikation mit den C&C-Servern wurde deren URL in Form einer Bitly-Kurz-URL \u00fcbermittelt.<\/p>\n

Die Informationen \u00fcber die URL der betreffenden C&C-Server werden dabei nicht auf kompromittierten Webseiten oder in der Malware, sondern in Kommentaren zu Instagram-Postings von Prominenten wie Britney Spears abgelegt.<\/p>\n

Analysieren Sicherheitsforscher die Malware, fallen Zugriffe auf popul\u00e4re Instagram-Konten nicht sofort auf. Erst durch Analyse der kompletten Kommunikation konnte der Angriff erkannt werden.<\/p>\n

Um die Bitly-URL des C&C-Servers zu ermitteln, durchsucht die Malware \u00fcber eine (JavaScript-) Firefox-Erweiterung alle Instagram-Kommentare.<\/p>\n


\n(Quelle<\/a>)<\/p>\n

Das obige Foto zeigt einen solchen unverf\u00e4nglichen Kommentar. Die Sicherheitsforscher von ESET l\u00f6sen in diesem Blog-Beitrag<\/a> den benutzten Ansatz auf. Die Firefox Erweiterung geht alle Foto-Kommentare durch und berechnet je einen Hash-Wert. Wenn der Hash mit 183 \u00fcbereinstimmt, wird der folgende regul\u00e4re Ausdruck auf den Kommentar angewendet, um den Pfad der bit.ly URL zu erhalten:<\/p>\n

(?:\\\\u200d(?:#|@)(\\\\w)<\/p>\n

Unter allen Kommentaren unter dem Anfang Januar 2017 geposteten Originalfoto gibt es nur einen Kommentar, der diesen Hash aufweist. Dieser Kommentar wurde am 6. Februar ver\u00f6ffentlicht. Im Kommentartext stecken noch einige nicht darstellbare Zeichen, die dem menschlichen Beobachter verborgen bleiben. \u00dcber den regul\u00e4ren Ausdruck wird entweder nach @ | # oder nach dem Unicode-Zeichen \\ 200d gesucht. Dieses letztgenannte Unicode-Zeichen ist eigentlich ein non-printable character<\/em> namens \u201aZero Width Joiner'. Normalerweise wird er verwendet, um emojis zu trennen. Das Einf\u00fcgen des eigentlichen Kommentars oder das Betrachten der Quelle verdeutlicht, dass der non-printable character<\/em> dazu verwendet wird, jedes einzelne Zeichen des bit.ly-Pfads anzuzeigen:<\/p>\n

smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X<\/p>\n

Nimmt man den obigen Kommentar und f\u00fchrt ihn im RegEx aus, erh\u00e4lt man folgende bit.ly URL:<\/p>\n

http:\/\/bit.ly\/2kdhuHX<\/p>\n

Die Aufl\u00f6sung des bit.ly-Links f\u00fchrt zur URL static[.]travelclothes[.]org\/dolR_1ert[.]php<\/em>, einem schon in der Vergangenheit benutzten Watering Hole C&C-Server. Im Blog-Post gehen die ESET-Sicherheitsforscher noch auf eine Reihe Details ein. Bei bit.ly-Kurz-URLs kann man beispielsweise sehen, wie h\u00e4ufig ein Link aufgerufen wurde. Aktuell k\u00f6nnte es sich um einen Testlauf handeln, da nur wenige Zugriffe \u00fcber die bit.ly-Kurz-URL erfolgten.<\/p>\n

Die Firefox-Erweiterung implementiert eine einfache Backdoor, die zun\u00e4chst Informationen \u00fcber das laufende System sammelt und diese dann AES-verschl\u00fcsselt an den C&C-Server sendet. Da der Firefox in der Version 57 diese Art Erweiterung nicht mehr l\u00e4dt, geht man davon aus, dass das alles nur ein Testlauf war. Weitere Details lassen sich im ESET-Blog-Beitrag<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Phantasie von Cyber-Kriminellen kennt keine Grenzen. Jetzt ist Turla-Cyber-Hackergruppe damit aufgefallen, dass sie Malware \u00fcber Kommentare in sozialen Medien wie Instagram steuert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4101,4328],"class_list":["post-191164","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hacker","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191164"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191164\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}