گروه جاسوسی تورلا (Turla)، یکی از گروههای جاسوسی بدنام است که اهدافش دولتها، دیپلماتها و مقامات است و از سال 2007 فعالیت خود را شروع کرده، به تازگی کمپین جدیدی به کمپین های خود اضافه کرد است. براساس گزارش ESET از تاکتیک حفره آبی شامل یکی از اکستنشن های به روز شده ی فایرفاکس برای سوءاستفاده از شبکه اجتماعی اینستاگرام، بهره می برد.
معمولا، حملات حفره آبی، با استفاده از وب سایت های بازدید شده توسط اهداف و مورد علاقه ی آنها، مهاجمان صورت می گیرد و آنها را به مسیری هدایت می کند که منجر به رسیدن قربانی به زیرساختهای فرماندهی و کنترل مهاجم می شود.
هنگام نظارت بر روی کمپین اخیر، محققان ESET اکستنشن فایرفاکسی را که در مستند قبلی از قلم افتاده بود، کشف کردند. برخلاف نسخه قبلی، اکستنشن از آدرس bit.ly برای دسترسی به C&C خودش استفاده می کند. به هر حال این مسیر URL ، اکستنشن فایرفاکس را پیدا نمی کند ولی در عوض به این اکستنشن از طریق کامنتهای ارسال شده برای پست خاصی از اینستاگرام دسترسی می یابد. یک مثال آنالیز شده پستی بود که برای در اکانت اینستاگرام یکی از خوانندگان مشهور خارجی منتشر شده بود.
برای دسترسی به آدرس bit.ly اکستنشن کامنت های مربوط به هر عکسی را نمایش می دهد و برای هر کامنت مقدار هش سفارشی ای را محاسبه می کند. اگر مقدار هش با عدد یکسان باشد، اکستنشن به تربیت روی کامنت ها برای دسترسی به مسیر URL اجرا می شود.
یکی از محققان شرکت ESET، توضیح می دهد که : حقیقت این است تورلا از شبکه های اجتماعی برای دستیابی به آدرس های C&C استفاده می کند که کار را برای وندورهای امنیت سایبری سخت تر می کند چون تشخیص ترافیک مخرب و ترافیک درست و قانونی در این روش مشکل است. همینطور اطلاعات مورد نیاز برای دسترسی به آدرس C&C به سادگی از طریق یک کامنت در شبکه های اجتماعی به دست می آید و مهاجم می تواند آن را تغییر داده و یا به طور کامل پاک کند.
برای جلوگیری از گرفتار شدن در کمپین حفره آبی، محققان ESET توصیه می کنند همیشه مرورگر و پلاگین های آن را به روز نگه دارید. اصل بعدی جلوگیری از دانلود و نصب اکستنشن و add-on ها از منابع نامعتبر هستند. خوشبختانه راه حل های امنیتی قادر به شناسایی وب سایت های مشکوک هستند و به کاربران اخطارهای لازم را میدهند پس بهتر است همیشه یک راه حل امنیتی مطمئن و به روز داشته باشید.
منبع : ESET