Lorsqu’il s’agit de commettre un forfait et de détourner les outils d’internet à leur avantage, les pirates rivalisent d’ingéniosité. Dernière preuve en date avec les pirates du groupe Turla.
Pour diffuser un malware, le Command and Control (C&C) se révèle primordial. Il fait le pont entre les hackers et leur butin, planqué sur un serveur, mais est également la condition de son existence. Son adresse est donc un précieux convoité qui doit rester secret.
Planqué dans les commentaires
Dans le cas présent, le malware (un cheval de Troie) contacte son C&C via le compte Instagram de Britney Spears où est dissimulé son URL. Pas dans les photos de l’artiste, vous vous en doutez, mais dans les commentaires.
Les pirates ont développé une extension Firefox qui parcourt l’ensemble des commentaires laissés sous les posts de la chanteuse pour y trouver des occurrences conformes au hash 183, autrement dit une empreinte cryptographique dont la valeur est égale à 183. Dans ces caractères somme toute anodins se cachent un lien raccourci menant directement au C&C.
Le chercheur en sécurité Jean-Ian Boutin (société Eset) déroule le procédé à partir d’une photo en particulier.
Une simple extension Firefox
Sur cette photo, un seul commentaire (encadré en rouge) correspond au hash 183 : « #2Hot make loved to her, uupss #Hot #X ». Il incorpore des caractères Unicode invisibles (200d).
smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X
Passé au filtre de l’extension, ce commentaire cryptique fournit le lien suivant : « bit.ly/2kdhuHX
», qui en dissimule un autre déjà relié au groupe Turla par le passé : static.travelclothes.org/dolR_1ert.php
.
Un procédé aussi simple que redoutable. « Les attaquants utilisant les médias sociaux pour récupérer une adresse C&C et rendent la vie difficile aux défenseurs ». En effet, il est difficile de distinguer le trafic malveillant du trafic légitime et les assaillants bénéficient d’une plus grande souplesse pour changer l’adresse C&C et effacer toute trace de son existence.
Turla est réputé lié au renseignement russe et aurait déjà espionné des administrations, grandes entreprises et ambassades. En 2015, Kaspersky avait démontré leur capacité à détourner des flux satellitaires. Leur ingéniosité n’est plus à prouver. Internet leur offre un formidable terrain de jeu.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.