Взлом или Инстаграм
«Русские хакеры» из Turla используют комментарии под фотографиями Бритни Спирс в Инстаграме для управления вредоносной программой.
Бритни Спирс. Фото Дэвида Бэккера
6 июня исследователи из компании ESET рассказали, что обнаружили новую вредоносную программу, созданную знаменитой русскоязычной хакерской группировкой Turla. По словам специалистов, найденный троян использует комментарии в инстаграме певицы Бритни Спирс, чтобы скрыть свою активность и передать украденные данные.
Вредоносная программа содержится в расширении для браузера Firefox под названием HTML5 Encoding, которое маскировалось под приложения для безопасной работы в интернете. Хакеры из Turla взломали сайт швейцарской компании по безопасности и предлагали пользователям установить приложение с трояном.
По словам исследователей из ESET, инструмент для взлома сам по себе является «простым»: при установке расширения создаётся бэкдор, который даёт злоумышленникам полный доступ к нужному устройству. Специалисты предположили, что хакеры адаптировали вредоносное ПО, распространяемое через документы Microsoft Word в 2016 году.
Несмотря на «простоту», Turla использовали нестандартный способ связи с командно-контрольными серверами (C&C servers), с которых заражённым компьютерам даются инструкции. Также они выступают в качестве хранилища украденной информации. Однако исследователи не нашли в коде расширения HTML5 Encoding адреса серверов. Позже оказалось, что вредоносная программа находила его в зашифрованных сообщениях в Инстаграме.
Один из них был размещён под фотографией певицы Бритни Спирс. Расширение искало комментарий, в котором была зашифрована ссылка на нужный сервер. Так хакеры планировали замести следы в случае обнаружения вредоносной программы.
По данным ESET, замаскированной ссылкой оказался с виду обычный комментарий «#2hot make loved to her, uups #Hot #X» от одного из пользователей.
Исследователи отметили, что с февраля 2017 года по ссылке перешли всего 17 раз. Это может означать, что хакеры лишь тестировали новый способ скрывать данные серверов.
По словам сотрудников ESET, использование соцсетей в качестве маскировки для вредоносных программ может сильно осложнить работу компаниям, специализирующимся на кибербезопасности. Если хакеры из Turla выведут троян из «тестового режима», то их атаки будет намного тяжелее отследить.
Во-первых, в социальных сетях сложно отличить вредоносный трафик от легитимного. Во-вторых, это даёт взломщикам большую гибкость в вопросах, касающихся необходимости сменить адреса серверов или уничтожить все следы.
Компания ESET связалась с разработчиками Firefox и рассказала им об уязвимости. По словам исследователей, сейчас они совместно работают над обновлением браузера, после которого подобные расширения не будут представлять угрозы.
Группировку Turla СМИ часто называют «хакерами Кремля». По информации западных изданий, взломщиков активно поддерживает правительство России, а их костяк составляют «русскоязычные». В сентябре 2015 года в «Лаборатории Касперского» заявили, что Turla скрывает местонахождение своих серверов с помощью спутников.
Долгое время считалось, что группировка начала свою деятельность в 2007 году. Однако позже «Лаборатория Касперского» назвала Turla «продолжателями дела» взломщиков из 90-х — Moonlight Maze, ответственных за одну из первых операций по кибершпионажу. Исследователи смогли связать две группировки с помощью старого компьютера, взломанного в 1996 году тем же способом, каким Turla пользовалась в 2011 году.