L’Instagram de Britney Spears sert de planque à des hackers russes

Sur le web

Par Elodie le

Communications cachées, planque pour leur butin et diffusion de malware, les pirates russes du groupe Turla ont pu mener leur activité à la vue de tous depuis le compte Instagram de la chanteuse américaine.

Till The World Ends

Lorsqu’il s’agit de commettre un forfait et de détourner les outils d’internet à leur avantage, les pirates rivalisent d’ingéniosité. Dernière preuve en date avec les pirates du groupe Turla.

Pour diffuser un malware, le Command and Control (C&C) se révèle primordial. Il fait le pont entre les hackers et leur butin, planqué sur un serveur, mais est également la condition de son existence. Son adresse est donc un précieux convoité qui doit rester secret.

Planqué dans les commentaires

Dans le cas présent, le malware (un cheval de Troie) contacte son C&C via le compte Instagram de Britney Spears où est dissimulé son URL. Pas dans les photos de l’artiste, vous vous en doutez, mais dans les commentaires.

Les pirates ont développé une extension Firefox qui parcourt l’ensemble des commentaires laissés sous les posts de la chanteuse pour y trouver des occurrences conformes au hash 183, autrement dit une empreinte cryptographique dont la valeur est égale à 183. Dans ces caractères somme toute anodins se cachent un lien raccourci menant directement au C&C.

Le chercheur en sécurité Jean-Ian Boutin (société Eset) déroule le procédé à partir d’une photo en particulier.

capture d’écran

Une simple extension Firefox

Sur cette photo, un seul commentaire (encadré en rouge) correspond au hash 183 : « #2Hot make loved to her, uupss #Hot #X ». Il incorpore des caractères Unicode invisibles (200d).

smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X

Passé au filtre de l’extension, ce commentaire cryptique fournit le lien suivant : « bit.ly/2kdhuHX », qui en dissimule un autre déjà relié au groupe Turla par le passé : static.travelclothes.org/dolR_1ert.php.

Un procédé aussi simple que redoutable. « Les attaquants utilisant les médias sociaux pour récupérer une adresse C&C et rendent la vie difficile aux défenseurs ». En effet, il est difficile de distinguer le trafic malveillant du trafic légitime et les assaillants bénéficient d’une plus grande souplesse pour changer l’adresse C&C et effacer toute trace de son existence.

Turla est réputé lié au renseignement russe et aurait déjà espionné des administrations, grandes entreprises et ambassades. En 2015, Kaspersky avait démontré leur capacité à détourner des flux satellitaires. Leur ingéniosité n’est plus à prouver. Internet leur offre un formidable terrain de jeu.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *