Eset: Cyberspionage-Gruppe Turla nutzt Instagram als Einfallstor

Der Security-Software-Hersteller Eset hat eine neue Angriffsstrategie analysiert, bei der die Hacker-Gruppe Turla eine Firefox-Erweiterung nutzt, um das soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen und Opfer auszuspionieren.

Die Cyberspionage-Gruppe Turla attackiert seit 2007 Regierungen sowie Regierungsvertreter und Diplomaten und hat jetzt ihrem Arsenal ein neues Werkzeug hinzugefügt, wie der Security-Software-Hersteller Eset mitgeteilt hat. Er hat eine neue Angriffsstrategie analysiert, bei der die Gruppe eine Firefox-Erweiterung nutzt, um das soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen.

Die Taktik der Turla-Gruppe besteht üblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern häufiger aufgerufen werden – sogenannte „Watering-Hole-Attacken“. Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können.

Bei der Beobachtung aktueller Turla-Kampagnen fiel den Forschern von Eset eine Firefox-Erweiterung auf, die erst kürzlich als schädlich eingestuft wurde. Im Gegensatz zu älteren Versionen nutzt diese Erweiterung eine bit.ly-Kurz-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad findet sich allerdings nicht in der Firefox-Erweiterung, sondern wird über die Kommentarfunktion einzelner Instagram Posts verbreitet – so beispielsweise unter einem Bild auf dem Account von Britney Spears.

Die Instagram-Seite von Britney Spears wird verwendet, um um Verbindungen zu Command-und-Control-Servern herzustellen. Gewisse Kommentare werden zu Bit.ly-Links transformiert, die dann im Anschluss zur Übermittlung der Befehle verwendet. Die Befehle für die C2-Server stecken in den Kommentaren (Bild: <a href="https://www.welivesecurity.com/deutsch/2017/06/07/turla-watering-hole-firefox-erweiterung-missbraucht-instagram/" target="_extern">Instagram/Eset)</a>.Die Instagram-Seite von Britney Spears wird verwendet, um um Verbindungen zu Command-und-Control-Servern herzustellen. Gewisse Kommentare werden zu Bit.ly-Links transformiert, die dann im Anschluss zur Übermittlung der Befehle verwendet. Die Befehle für die C2-Server stecken in den Kommentaren (Bild: Instagram/Eset).

Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung alle Instagram-Kommentare. Für jeden Kommentar, den sie berechnet, hat sie einen benutzerdefinierten Hashwert. Wenn der Hashwert mit der Zahl 183 übereinstimmt, wird der URL-Pfad aus dem Kommentar gezogen.

“Die Tatsache, dass Turla Social Media nutzt, um C&C-Adressen wiederherzustellen, macht Anbietern von Cybersecurity-Lösungen das Leben schwer. Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch unterscheiden“, so Jean-Ian Boutin, Senior Malware Researcher bei Eset. „Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen.“

Um nicht selbst Opfer einer solchen Watering-Hole-Attacke zu werden, empfehlen die Eset-Forscher Browser und deren Erweiterungen stets aktuell zu halten. Zudem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen laden und installieren.

Die vollständige Analyse der neuen Watering-Hole-Kampagne von Turla findet sich im Eset-Blog WeLiveSecurity.

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Themenseiten: Eset, Security, Sicherheit, instagram

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Eset: Cyberspionage-Gruppe Turla nutzt Instagram als Einfallstor

Kommentar hinzufügen
  • Am 8. Juni 2017 um 19:15 von Dennis

    Die Idee zu geheimen Kommunikation ist nicht neu. Schon lange vor dem Internet haben Geheimdienste ihre Agenten mit irgendwelchen Zeitungsannoncen Botschaften zukommen lassen. Nur die Agenten kannte die wahre Bedeutung. Die Agenten mussten auch kein Funkgerät haben, wodurch der Beweis der Agententätigkeit schwierig war. Es war auch üblich, dass in einen ganz belanglosen Brief auf irgend einem i-Punkt ein kleines Stück Mikrofilm geklebt war.
    In diesem speziellen Fall hätte es geholfen wenn Instagram einige nicht druckbare Zeichen komplett ausgefiltert hätte. Aber ganz verhindern kann man eine solche Zweckentfremdung nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *