'Backdoor gebruikt Instagram-commentaar voor communicatie met server'

Beveiligingsbedrijf ESET heeft een kwaadaardige Firefox-extensie ontdekt, die als backdoor fungeert en van Instagram-commentaar gebruikmaakt om verbinding te maken met een command-and-controlserver. De backdoor wordt gebruikt door de Turla-groep.

Het bedrijf kwam de extensie tegen tijdens een onderzoek naar de Turla-groep, die van Russische oorsprong lijkt te zijn en waarvan eerder bleek dat deze satellietverbindingen kaapte voor communicatie met c2-servers. Daarnaast gebruikt de groepering zogenaamde watering holes, waarmee zij zich richt op overheden en diplomaten, aldus ESET. Bij de Firefox-extensie, die 'html5 encoding 0.3.7' heet, gaat het om een eenvoudige JavaScript-backdoor, die wordt verspreid via de gehackte website van een Zwitsers beveiligingsbedrijf.

De verbinding werd gemaakt door gebruik te maken van het commentaar op een specifieke Instagram-post van Britney Spears. De extensie bevat code die van elke reactie op de post een aangepaste hashwaarde berekent. Als deze uitkomt op 183, wordt met behulp van regex het pad van een bit.ly-url vastgesteld. De onderzoekers vonden maar één reactie waarvan de hash de gewenste uitkomst had. Deze verwees na toepassing van de regex naar een bepaalde url. Deze werd in het verleden al eens gebruikt als een c2-server in Turla-campagnes, schrijft ESET. Misschien gaat het bij de extensie om een test, omdat de url slechts zeventien keer is bezocht.

Het commentaar op de post bevat bovendien zogenaamde zero width joiners, die worden gebruikt om bepaalde karakters met elkaar te verbinden. De backdoor zelf is relatief eenvoudig, merken de onderzoekers op. Deze biedt de mogelijkheid tot het uitvoeren van bestanden, uploads en downloads naar de c2-server en het uitlezen van directories. Volgens ESET maakt het gebruik van de Instagram-methode het moeilijk om het verkeer met de c2-server als kwaadaardig aan te merken. Daarnaast biedt het de aanvallers de mogelijkheid om van c2-server te veranderen, mocht dit nodig zijn.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 07-06-2017 10:3421

07-06-2017 • 10:34

21 Linkedin Whatsapp

Lees meer

Bug in Instagram-api gaf toegang tot telefoonnummers geverifieerde gebruikers
Bug in Instagram-api gaf toegang tot telefoonnummers geverifieerde gebruikers Nieuws van 31 augustus 2017
'Sinds 2016 actieve Gazer-backdoor richt zich op ambassades en ministeries'
'Sinds 2016 actieve Gazer-backdoor richt zich op ambassades en ministeries' Nieuws van 30 augustus 2017
Hackers maakten 23GB aan data buit bij Zwitsers defensiebedrijf
Hackers maakten 23GB aan data buit bij Zwitsers defensiebedrijf Nieuws van 23 mei 2016
'Russische hackgroepering kaapt satellietverbindingen'
'Russische hackgroepering kaapt satellietverbindingen' Nieuws van 9 september 2015
Linux-variant van Turla-malware is jarenlang onopgemerkt gebleven
Linux-variant van Turla-malware is jarenlang onopgemerkt gebleven Nieuws van 9 december 2014
Meer producten en artikelen
Netwerk en systeembeheer Security

IT-banen

Meer vacatures

Reacties (21)

-Moderatie-faq
21
21
11
2
0
6
Wijzig sortering
GuruMeditation
7 juni 2017 10:59
Instragram commentaar, is dus maar bijzaak. Het probleem zit in een Firefox extensie, die toevallig gebruik maakt van Instragram commentaar; wat elke ander middel had kunnen zijn.


Maar ik klikte direct op de titel, omdat ik dacht dat Instragram lek was (waarschijnlijk het doel van de auteur ;( ) .
YopY
@GuruMeditation7 juni 2017 11:35
> Het probleem zit in een Firefox extensie

Dat is idd het ding. Waarom kan een Firefox extensie info van een C&C server downloaden? Waarom kan die (blijkbaar?) info van gebruikers oid doorgeven?
anargeek
@YopY7 juni 2017 11:57
Dat kunnen in theorie alle extensies. Ze kunnen alle informatie uit je open tabs lezen en hebben volledige toegang daarmee te doen wat ze willen. Daarom staat in Chrome bij extensies een waarschuwing:
"Warning: Google Chrome cannot prevent extensions from recording your browsing history."

Dit is geen fout in extensies, dit is vereiste functionaliteit. Een extensie die niet je pagina kan uitlezen en/of geen verbinding met andere diensten kan maken is in de meeste gevallen waardeloos
FvdM
@YopY7 juni 2017 12:16
Waarom kan een Firefox extensie info van een C&C server downloaden? Waarom kan die (blijkbaar?) info van gebruikers oid doorgeven?
Alle extensies kunnen communiceren met andere servers, ongeacht browser. De vraag moet zijn: waarom kan een extensie file system toegang verkrijgen?
The backdoor component has the ability to run four different types of commands:

- execute arbitrary file
- upload file to C&C
- download file from C&C
- read directory content – send a file listing, along with sizes and dates, to C&C
De gebruikte API is XPCOM, deze is sinds Firefox v57 niet meer beschikbaar.
Mitsuko
@FvdM7 juni 2017 13:54
Wel belangrijk om te weten is dat het plan is om alle traditionele extensies niet meer te laten werken vanaf Firefox 57. Alles moet dan overstappen op de WebExtensions API, een API die gebaseerd is op de API van Chrome (maar wat meer uitgebreid).

Dus als je nog veel traditionele extensies hebt wordt het misschien tijd om alternatieven te gaan zoeken (of te maken). In principe zou je met WebExtensions alle extensies van Chrome moeten kunnen gebruiken, maar ik geloof dat de implementatie in huidige Firefox nog niet helemaal af is. Je zou Chrome Store Foxified kunnen gebruiken als je een Chrome extensie in Firefox wilt proberen ;)
anargeek
@Mitsuko7 juni 2017 14:14
De WebExtensions implementatie in Firefox werkt prima. Ik ben momenteel bezig met een Edge/Chrome/Firefox extensie en het is 1 gedeelde broncode die in alledrie werkt
watercoolertje
@GuruMeditation7 juni 2017 11:13
Ik vind dat het titel helemaal niet suggereert dat Instagram iets verkeerd doet...

Er staat enkel dat dat als hulpmiddel gebruikt is, niks meer dan normaal om te benoemen in een titel van een nieuwsitem.
GuruMeditation
@watercoolertje7 juni 2017 11:20
Maar moet je nu je Instagram updaten/beter beveiligen, of moet je een bepaalde Firefox extensie aandacht geven?

Ook in de eerste zin van het artikel, begint niet over het Instragram commentaar, maar over een backdoor in een Firefox extensie (wat het punt ook is).

Wellicht had ik die laatste zin niet als comment moet plaatsen, maar op het forum moeten zetten. Maar ik denk dat er bewust niet voor een titel is gekozen als "Firefox-extensie ontdekt, die als backdoor fungeert", omdat het toch minder aandacht zal trekken waarschijnlijk.
watercoolertje
@GuruMeditation7 juni 2017 11:49
Maar dat is de nieuwswaarde niet, dat is dat er een social media platform is gebruikt voor communicatie waardoor het onder de radar kan werken...
anargeek
@GuruMeditation7 juni 2017 11:53
Het interessantste aan deze backdoor is dat het Instagram gebruikt, niet dat het een FF extensie betreft. Ze hadden net zo goed Facebook of Pastebin of Twitter kunnen gebruiken, maar dat neemt niet weg dat de manier waarop ze hun C&C server benaderen noemenswaardig is.
Maurits van Baerle
@GuruMeditation7 juni 2017 11:37
Nee, dat Instagram commentaar is nou juist de kern van het verhaal.

Dat iemand een stukje kwaadaardige code op een machine weet te krijgen is nauwelijks nieuws. De achilleshiel is doorgaans dat de code moet communiceren met een C&C server om bestuurd te worden. Het is erg lastig om dat te doen zonder dat het opvalt waar die C&C server staat (en wat je dus in de richting van de daders kan helpen).

Deze malware gebruikt Instagram als een soort 'dead drop'. Er is geen directe connectie tussen de malware en de C&C server omdat ze communiceren via ogenschijnlijk onschuldige posts onder een oude foto van Britney Spears.
Stoelpoot
@GuruMeditation7 juni 2017 11:07
Hm, dat is dan jouw opvatting. Ik had exact verwacht wat er uiteindelijk aan de hand was.

Ik denk dat er geen vreemde bedoelingen achter de titel zaten. Ik klikte zelf juist omdat het iets is wat je toch niet vaak hoort: Gebruik van posts / reacties in sociale media om met andere systemen te communiceren.
mae-t.net
@GuruMeditation7 juni 2017 13:23
Kwaadaardige extensies zijn geen nieuws. Steganografie is dat nog altijd wel. Een serieuze tweaker zal dus eerder geïnteresseerd zijn in die communicatiemethode dan in het feit dat er een dubieuze executable in omloop is.
Haribo112
7 juni 2017 11:14
Los van het feit dat dit kwaardaardig is, vind ik het werkelijk briljant bedacht. Het doet me denken aan de oude spionnen-tactiek om een openbaar beschikbaar boek te gebruiken om berichten te coderen. Bepaalde cijfers wijzen dan naar pagina's, regels en woorden in een boek. Als de andere partij hetzelfde boek heeft kan hij het bericht lezen.
biglia
@Haribo1127 juni 2017 11:49
Het gebeurde ook al in 2009 met Twitter: nieuws: Twitter misbruikt door botnet voor stelen inloggegevens

Maar ik geef toe dat deze Instagram methode iets vernuftiger is.
NetAmp
7 juni 2017 10:43
Waarom dan:
door gebruik te maken van het commentaar op een specifieke Instagram-post van Britney Spears.
:+ Die Russen zijn vast grote fans :?

Heb me trouwens altijd al afgevraagd of de grote hoeveelheden SPAM-emails ook worden gebruikt voor (geautomatiseerde) communicatie op de één of andere manier.

[Reactie gewijzigd door NetAmp op 7 juni 2017 10:45]

WhatsappHack
@NetAmp7 juni 2017 14:36
Nee, waarschijnlijk post bijna niemand daar nog iets, dus lage kans om per ongeluk die hash te triggeren :+
TheSec
7 juni 2017 10:42
Misschien ook goed om te vermelden dat bit.ly rapporteerde dat er 17 hits geweest waren, waardoor Eset van mening is dat het om een test ging.

Vond persoonlijk het artikel op Arstechnica wel een stuk duidelijker.
https://arstechnica.com/s...ealing-espionage-malware/
Brummetje
@TheSec7 juni 2017 10:44
of om een test ging? Of wat anders? Ben wel benieuwd nu :)
mikeoke
@TheSec7 juni 2017 12:20
en misschien goed om daar dan ook weer bij te vermelden hoe ze aan deze 17 hits komen.

Toevallig kwam ik er zelf achter dat sommige shortener URLs hun history publiekelijk inzichtelijk maken d.m.v. een + of - teken achter de URL te plaatsen

https://bitly.com/2kdhuHX+

(gebruik het zelf om shorterner URLs in phising e-mail berichten te bekijken en dan heb je gelijk een idee in welk land de meeste besmettingen plaatsvinden)
mutley69
7 juni 2017 17:26
Toevallig een lekje - wel,wel - wie wil dat soort platformen nog gebruiken? Ik alvast niet - instagram, facebook en consoorten staan al even op 127.0.0.1 in /etc/hosts

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee