Un groupe de pirates russes se sert d’Instagram pour récupérer l'adresse d'un serveur de commandes. Une utilisation originale du réseau social, mais une méthode qui n’est pas nouvelle en elle-même .
D’après la société de sécurité ESET – à qui l’on doit l’antivirus NOD32 – le groupe russe Turla a décidé de recourir à une philosophie particulière pour transmettre ses instructions à ses malwares actifs : cacher les commandes en les exposant aux yeux de tous. Comment ? Sous forme de commentaires sur Instagram.
Ce n’est pourtant pas la première fois que des pirates se servent d’un réseau social pour émettre des instructions. On se souvient qu’en 2014 par exemple, des botnets étaient contrôlés par l’intermédiaire de hashtags savamment déposés sur Twitter. Il suffisait de savoir où chercher pour repérer les caractères qui, aux yeux de tous, ne voulaient pas dire grand-chose.
Une fausse extension pour Firefox, des méthodes de Sioux
Tout commence avec la découverture d’une extension malveillante pour Firefox se faisant passer pour une aide à la sécurité. L'objectif de l'extension est un classique vol de données, dans le navigateur et le système. C’est elle qui a besoin d’un serveur de commande, puisqu’elle peut servir de liaison entre les pirates et les malwares éventuellement installés.
Là où cette extension se distingue, c’est dans sa récupération de l’adresse du serveur C&C (Command & Control). Elle n’est pas présente dans le code pour éviter de mettre trop rapidement les sociétés de sécurité sur sa trace. À la place, elle se réfère à certains liens Instagram particuliers, a priori sans raison particulière. Mais la clé réside bien dans leur analyse.
Une expression régulière pour trouver l’adresse
Puisque l’idée était de placer des informations dans des commentaires, les pirates ont choisi un compte qui a peu de chances d’être effacé : celui de Britney Spears. On trouve dans le billet de l’éditeur plusieurs captures d’écran, montrant d’un côté une photo de la chanteuse, et de l’autre des commentaires encadrés pour mettre en évidence ce qu’il fallait repérer.
Il aurait été évidemment beaucoup trop simple que les pirates mettent en toutes lettres des instructions que le malware pouvait lire tel quel. Elles sont donc codées. L’extension regarde chaque commentaire et détermine pour chacun un hash. Quand elle est en trouve un dont la valeur est 183, elle applique l’expression régulière (?:\\u200d(?:#|@)(\\w). Appliqué à l’exemple de la photo, le résultat devient alors « http://bit.ly/2kdhuHX », adresse qui apparaît désormais comme « problématique », Bit.ly ayant été informé du souci.
La méthode pourrait gagner en attractivité
Même si elle n’est pas nouvelle, la méthode semble efficace pour ESET. Il est difficile de trouver ces informations. Pour preuve, le fait que le billet de l’éditeur date de mardi soir, alors que le commentaire visé dans l’exemple était du 6 février (sur une photo publiée le 7 janvier). L’analyse de l’adresse montre cependant que l’adresse n’a a priori été visitée que 17 fois en février, ce qui indiquerait qu’il s’agissait alors surtout de tests.
Une procédure efficace donc, même si elle est exploitée actuellement par une extension Firefox. Pour les pirates, le problème va en effet se corser. Actuellement, cette extension dispose de capacités qui rendent l’installation de malwares optionnelles. Elle peut en effet exécuter du code arbitraire, lire des fichiers, émettre des informations, transmettre des lots de données, etc.
Cependant, puisque Firefox 53 durcit largement le ton sur les extensions (il faut passer par la boutique et l’API WebExtensions), on ne sait pas si ce type de malware sera encore réalisable. Selon les chercheurs d’ESET, il reste à voir comment les pirates s’adapteront. Mais extension ou pas, la communication par messages publics reste efficace.
Ni le groupe de pirates, ni la tactique ne sont nouveaux
Turla est un groupe sévissant depuis plusieurs années au moins. En 2014 par exemple, un article de Symantec le liait à un malware nommé Wipbot et qui avait été trouvé dans les ordinateurs de certaines agences gouvernementales et ambassades en Europe de l’Est, particulièrement dans les pays qui faisaient anciennement partie du bloc soviétique. Un peu plus tard dans la même année, c’est Kaspersky qui avait attiré l’attention sur ce groupe : même campagne que précédemment, mais en passant cette fois par une porte dérobée dans Linux, via un autre malware.
Comme indiqué précédemment, l’idée de messages publics n’est pas nouvelle. On note toutefois une évolution, prévisible pour plusieurs experts que nous avions interrogés en 2014 sur la thématique des botnets. Les chaines de caractères incompréhensibles ont laissé place à des mots, rendant les messages beaucoup moins suspects.
En l’état actuel des choses, les pirates peuvent donc publier des commentaires presque intelligibles, réellement compréhensibles seulement par ceux qui ont les bons éléments et savent où chercher. Car après tout, qui irait fouiller manuellement dans les milliers de commentaires d’une photo de Britney Spears pour tenter de débusquer un éventuel message codé ?
Commentaires (17)
#1
c’est génial
" />
" />
" />
pauvre Britney
#2
C’est pas con du tout comme technique, ils sont malins ces hackers!
#3
#4
Très bonne photo d’article,
" />
je vais le relire d’ailleurs
Ils sont de plus en plus malis ces hackers; Une fois qu’ils auront trouvé une méthode alternative à l’extension FF, les éditeurs de sécu auront du boulot.
Sauf Microsoft car Defender est le plus génial et plus complet des produits de sécurité. D’ailleurs c’est DEFENDER qui a soufflé à ESET ce nouveau malware
#5
Pour ceux qui se poseraient la question, je pense que la regex n’est pas la bonne, (y compris dans l’article original), ce serait plutôt /\u200d(?:#|@)?(\w)/g
#6
“Ni le groupe de pirates, ni la tactique ne sont nouveaux”
" />
Oops, I did it again
#7
du coup je n’ai pas compris la transformation? qu’est ce qui est traité le message entier, les hashtags, ce “uupss”? 
" />
#8
Aparrament c’est tout le message.
Je ne comprend pas trop comment ca marche ici. Mais de ce que je comprend il prend le caractère qui suit un # ou @. Par contre je ne pige pas comment il choisi les caractères dans les mots suivants.
#9
haha bien vu
" />
#10
@CryoGen @rm
#11
L’utilisation de hashtag (#) ou de username (@) permetterait de cacher des majuscules sans que cela se voit
#12
#13
#14
Ah merci
" />
#15
c’est bien pensé
Pour que cela fonctionne il faut :
La page instagram de Britney Spears rempli tous ces critères.
pour les images, il faudrait en plus que le système autorise n’importe qui à poster des images, ce n’est pas le cas sur les commentaires instagram.
ah mais j’y pense, la solution serait les forums porno gay, personne n’irait penser à trop fouiller sur ces forums (bon à part les gays mais ça retire une bonne portion de la population), et cacher des messages dans ces images remplirait toutes les conditions ci dessus
#16
ok merci!
#17
“Car après tout, qui irait fouiller manuellement dans les milliers de commentaires d’une photo de Britney Spears pour tenter de débusquer un éventuel message codé ?”
Je ne sais pas pourquoi, mais j’ai l’impression que Mr Hermann ne nous a pas tout dit…