L’Instagram de Britney Spears a la côte chez les hackers

ESET a fait une nouvelle découverte pour le moins surprenante. En analysant le fonctionnement d’un rootkit très élaboré, les chercheurs en sécurité de l’entreprise ont réalisé qu’il utilisait le compte Instagram de Britney Spears pour communiquer des informations en lien avec la localisation de certains serveurs de commande.

Les chercheurs en question s’intéressent depuis longtemps aux activités du groupe de hackers Turla. D’origine russe, ces derniers ont en effet été impliqués dans plusieurs attaques particulièrement destructrices.

Britney Hackers

En 2014, ils avaient ainsi infecté les ordinateurs de plusieurs ambassades et de plusieurs gouvernements européens pour espionner leurs agents.

Britney Spears toujours populaire chez les hackers russes ?

Turla utilise plusieurs méthodes pour agir dans la plus grande discrétion et ESET a découvert que les hackers faisaient souvent appel à Instagram pour pouvoir partager des informations entre eux.

Mieux, en poussant plus loin leurs investigations, les experts ont réalisé que ces derniers utilisaient principalement un compte pour leurs échanges, à savoir celui de la chanteuse Britney Spears.

La combine est d’ailleurs bien ficelée. Elle s’appuie en effet sur une porte dérobée diffusée sous la forme d’une extension Firefox. Grâce à elle, les hackers peuvent échanger rapidement les adresses de leurs serveurs à la vue de tous en chiffrant des adresses Bitly.

Le mieux est sans doute de partir d’un exemple simple. Si vous vous rendez sur une des nombreuses publications de la chanteuse, alors vous pourrez tomber sur un commentaire publié par un certain asmith2155. Plutôt conventionnel, il comporte seulement quelques mots d’une platitude déconcertante : « #2hot make loved to her, uupss #Hot #X ».

Une histoire d’extension et de commande cachée

Mais voilà, en analysant le code source du commentaire, les chercheurs travaillant pour ESET ont réalisé que certains mots étaient précédés d’une balise habituellement utilisée pour séparer les emojis du texte : <200d>. Ainsi, le commentaire donnant quelque chose comme :

Smith2155 <200d> # 2hot ma <200d> ke lovei <200d> d à <200d> elle, <200d> uupss <200d> #Hot <200d> #X

Utilisée conjointement à l’extension évoquée plus haut, ce commentaire en apparence des plus bénins se transformait en une URL générée à l’aide d’un service que tout le monde connaît, Bitly. Les chercheurs en ont ainsi déduit que les hackers de Turla utilisaient cette technique pour s’échanger les adresses de serveurs C&C en toute discrétion.

A noter tout de même que ESET n’a pas travaillé seul sur cet épineux dossier. Les experts de l’entreprise ont en effet été épaulés par Clément Lecigne, un ingénieur travaillant pour le groupe d’analyse des menaces de Google.

Crédits Image

Mots-clés esetsécurité