IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

InstagramSeit 2007 attackiert die Cyberspionage-Gruppe Turla Regierungen sowie Regierungsvertreter und Diplomaten. Nun hat sie ihrem Arsenal ein neues Werkzeug hinzugefügt: Der europäische Security-Software-Hersteller ESET hat eine neue Angriffsstrategie analysiert, bei der die Gruppe eine Firefox-Erweiterung nutzt, um das beliebte soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen.

Die Taktik der Turla-Gruppe besteht üblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern häufiger aufgerufen werden – sogenannte „Watering-Hole-Attacken“. Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können.

Verbreitung über Instagram-Kommentare

Bei der Beobachtung aktueller Turla-Kampagnen fiel den Forschern von ESET auf, die erst kürzlich als schädlich eingestuft wurde. Im Gegensatz zu älteren Versionen nutzt diese Erweiterung eine bit.ly-Kurz-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad findet sich allerdings nicht in der Firefox-Erweiterung, sondern wird über die Kommentarfunktion einzelner Instagram Posts verbreitet – so beispielsweise unter einem Bild auf dem Account von Britney Spears.

Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung alle Instagram-Kommentare. Für jeden Kommentar, den sie berechnet, hat sie einen benutzerdefinierten Hashwert. Wenn der Hashwert mit der Zahl 183 übereinstimmt, wird der URL-Pfad aus dem Kommentar gezogen.

Herausforderung für Security-Branche

“Die Tatsache, dass Turla Social Media nutzt, um C&C-Adressen wiederherzustellen, macht Anbietern von Cybersecurity-Lösungen das Leben schwer. Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch“, so Jean-Ian Boutin, Senior Malware Researcher bei ESET. „Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen.“

Um nicht selbst Opfer einer solchen Watering-Hole-Attacke zu werden, empfehlen die ESET Forscher Browser und deren Erweiterungen stets aktuell zu halten. Zudem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen laden und installieren. Glücklicherweise sind moderne Cybersecurity-Lösungen in der Lage, verdächtige Webseiten, welche potentiell schädliche Inhalte verbreiten, zu erkennen und den Nutzer rechtzeitig zu warnen.

Die vollständige Analyse der neuen Watering-Hole-Kampagne von Turla findet sich im ESET Blog WeLiveSecurity.
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet