Quel étonnant mélange des genres : le célèbre groupe de hackers russes Turla dissimule des échanges de données volées dans les commentaires Instagram des photos de Britney Spears. Le compte de la star sert ainsi de couverture pour un dangereux malware depuis de nombreux mois.

Au cœur d’un projet de malware se trouve toujours un Command and Control, connu sous l’acronyme C&C. C’est, grossièrement, l’île du pirate sur laquelle se trouve le butin mais qui, pour la survie du malware et de ses créateurs, doit rester secret sous peine d’interrompre l’ensemble du processus.

Dans ce C&C, on va trouver les données volées par le malware qui sont téléversées sur un serveur avant d’être récupérées par les pirates. Il s’agit donc d’un chaînon essentiel qui lie le hacker à sa victime. En général, pour déminer un malware, les experts en cyber-sécurité s’en prennent souvent à ce C&C sans lequel le logiciel malveillant est coupé de son créateur.

Le profil de Britney Spears : un rendez-vous des pirates

De fait, cacher cette adresse sauvage sur le web est devenu une priorité pour les groupes de hackers les plus professionnels, comme le montre l’exemple du jour avec Turla.

À la frontière entre l’espionnage et le groupe traditionnel, Turla est un collectif qui semble évoluer autour des services secrets russes et s’illustre à la fois par des moyens étonnants et une force de frappe remarquable. Dans Ars Technica, on apprend que ces Russes ont comme fait d’arme récent la prouesse d’avoir détourné des satellites pour, par exemple, cacher leur fameux C&C.

Néanmoins, c’est loin de l’orbite que nous retrouvons les hackers. Puisqu’une étude datant de cette semaine montre que les Russes ont d’autres ressources que les satellites pour couvrir leurs traces. Selon l’analyse d’Eset rapportée par We Live Securityc’est au travers de commentaires sur la plateforme Instagram que les hackers se livrent, de manière codée, l’emplacement du C&C, leur île au trésor.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Instagram.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Instagram avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Pour être tout à fait précis, il s’agit de commentaires sur les photos de Britney Spears, ce qui s’avère aussi drôle que malin. Selon les experts mentionnés plus haut, les hackers ont développé une extension pour le navigateur Firefox qui analyse l’intégralité des commentaires des photos de la star pour y trouver des occurrences conformes au hash 183. Et ces commentaires, bien que visiblement anodins pris au milieu de milliers d’autres déposés par des fans, comportent en réalité un code sibyllin qui grâce à un mélange d’expressions régulières et de signaux discrets mènent ensuite à un lien raccourci, qui lui, mène au C&C.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Instagram.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Instagram avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Ainsi, avec une simple extension le groupe peut, à tout endroit du monde, accéder à la dernière adresse en date de leur butin. Ce qui vaut pour eux, mais également pour le malware qui suit également les instructions déposées sur Instagram.

Afin d’étayer son propos, l’Eset s’est servi de la photo ci-dessus sur laquelle on retrouve un commentaire tout à fait banal bien que délirant : « #2Hot make loved to her, uupss #Hot #X »

britney_instagram_square-768×572

Une fois passé à la moulinette de l’extension et de sa regex, le commentaire de asmith2155 prend bien plus de sens puisqu’il devient le lien suivant : http://bit.ly/2kdhuHX.

Lien qui lui-même en cache un autre : static.travelclothes.org/dolR_1ert.php — ancien domaine de Turla déjà découvert par le passé et relié au groupe.

L’avantage pour Turla est assez évident, la plateforme sociale permet aux hackers de rester liés à tout moment avec leurs victimes tout en changeant suffisamment de fois d’adresses pour tenir à l’écart autorités et experts en cyber-sécurité. Par ailleurs, la technique étant aussi simple qu’efficace, elle risque — bien que découverte chez Britney — d’être répliquée ailleurs avec la même facilité.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.