Sicherheitsforscher mehrerer AV-Hersteller, darunter Kaspersky und Eset, verfolgen die Hackergruppe Turla schon seit geraumer Zeit. Jetzt haben die Eset-Forscher einen neuen Kniff der mutmaßlichen staatlichen Akteure aus Russland aufgedeckt: Sie steuern Spionage-Trojaner über Nutzerkommentare auf Social-Media-Seiten. Unter anderem wird das Instagram-Konto von Britney Spears dazu missbraucht, Schadcode fernzusteuern. Ein weiteres Beispiel dafür, wie kreativ die Hackergruppe ist.

Die Turla-Hacker infizieren Opfer mit einer bösartigen Firefox-Extension, die deren Rechner komplett übernehmen kann. Das Add-On gibt sich dabei als angebliche Security-Software aus. Einmal auf dem Rechner, holt sich der Schadcode seine Befehle dann aus besagten Social-Media-Kommentaren. Das hat für die Hacker den großen Vorteil, dass deren Command & Control (C&C) Server niemals direkt im Schadcode verlinkt werden. Sie sind somit für Sicherheitsforscher schwerer zu finden und der C&C-Traffic wird von Firewalls und Intrusion-Detection-Systemen nicht gefiltert oder geflaggt, da er wie harmlose Web-Inhalte aussieht. Für Admins und Security-Teams wirkt es, als ob ein Nutzer mittels Firefox etwa ein Instagram-Konto besucht – harmlose Prokrastination also.

Angesichts der Kommentarflut auf beliebten Social-Media-Konten gehen solch kryptische Malware-Befehle im Hintegrundrauschen unter. (Bild: Eset, Instagram )

Der Trojaner verarbeitet die harmlos aussehenden Kommentare dann mittels einiger Programmiertricks – unter anderem Regular Expressions (RegEx) und Krypto-Algorithmen – und extrahiert daraus die URL des eigentlichen C&C-Servers. Der gibt dem Trojaner dann Anweisungen und weist ihn an, wohin die beim Nutzer abgegriffenen Daten zu exfiltrieren sind.

Ein Beispiel eines nicht so harmlosen Kommentars

Der Trojaner berechnet Hashes aus den einzelnen Kommentaren. Jeder Kommentar, bei dem ein bestimmter Hash herauskommt, wird mit dem RegEx (?:\\u200d(?:#|@)(\\w) untersucht. So wird etwa aus dem Kommentar #2hot make loved to her, uupss #Hot #X (inklusive unsichtbarer Unicode-Zeichen, die Instagram nicht darstellt) dann die Short-URL http://bit.ly/2kdhuHX . Diese wiederum führt zu einem Server unter der Kontrolle der Hacker. Als C&C-Server missbrauchten die Hacker gehackte Server, unter anderem der russischen und sambischen Botschaften in den USA und der österreichischen Stadt Mischendorf.

Die Turla-Hacker wurden in der Vergangenheit für Angriffe auf Botschaften mehrerer europäischer Staaten verantwortlich gemacht. Dabei konzentrierten sie sich vor allem auf Staaten des ehemaligen Ostblocks. Anfang des Jahres sollen sie erneut mittels einer Zero-Day-Lücke in Windows europäische Botschaften und Rechner in militärischen Institutionen angegriffen haben. Angesichts der Angriffsziele und raffinierter Methoden liegt der Schluss nahe, dass es sich um staatlich unterstützte Hacker aus Russland handelt. Wie bei eigentlich allen solcher Untersuchungen basiert dieser Verdacht aber auf Indizien, die ebenso gut raffiniert gelegte falsche Fährten sein könnten. (fab)