Britney Spears posiert im Netz-Body neben einem von tausenden begeisterten Kommentaren: “2hot make loved to her, uupss #Hot #X” – klingt zwar ein bisschen gaga, aber für einen Instagram-Kommentar auch nicht allzu ungewöhnlich.
Was Spears und ihre Fans aber nicht ahnen: Dieser Kommentar ist ein Geheimcode. Er hilft russischen Hackern, die Fäden für einen Angriff im Hintergrund zu ziehen – und verbindet die Rechner nichtsahnender Opfer einer besonders kreativen Form mit einem Steuerungsserver irgendwo auf der Welt, um eine sogenannte “Watering-Hole-Attacke” durchzuführen.
Videos by VICE
Watering Hole-Attacken sind in der trockenen Sprachwelt der Hacks und Exploits wunderbar bildlich: Sie sollen ihre Opfer dort im Netz angreifen, wo sie sich gern tummeln – wie nichtsahnende Gazellen, die sich entspannt zum Trinken versammeln, bevor das Krokodil zuschnappt. Britney Spears Instagram-Account ist mit knapp 17 Millionen Followern und tausenden Kommentaren unter jedem geposteten Bild so ein Wasserloch.
Wie die Sicherheitsforscher von Eset berichten, hat die russische Hackergruppe Turla das nun offenbar ausgenutzt und die URL ihres Command-and-Control-Servers ausgerechnet in den Kommentaren zu einem Foto der Sängerin versteckt. Das funktioniert natürlich nicht bei allen Menschen, die das Foto angucken, sondern nur bei denen, die schon vorher Malware der Hacker auf dem Rechner hatten.
Der Schlüssel für den Angriff liegt in einer bösartigen Firefox-Erweiterung mit dem unauffälligen Namen “HTML5 Encoding 0.3.7”, die über die infizierte Website einer Schweizer Sicherheitsfirma verteilt wurde. Eigentlich ist sie aber eine Backdoor, also ein kleines Einfallstor auf dem eigenen Rechner für ferngesteuerte Befehle. Lädt ein Besucher sie herunter, nistet sie sich auf dem Computer ein.
Das Problem für die Hacker: Virenprogramme werden immer schlauer in der Erkennung von solcher Malware. Sie scannen den Quellcode einer jeden Datei auf dem Rechner und suchen darin nach Pfaden zu potentiell schädlichen Serveradressen, die irgendwo auf einer Blacklist stehen.
Im ewigen Katz- und Mausspiel zwischen Angreifern und Sicherheitsforschern wissen die Hacker das natürlich–und haben nun über den Umweg Social Media einen cleveren anderen Weg gefunden, um die Nutzer auf ihre Server zu locken. Schaut sich das Opfer auf Instagram das Foto von Britney Spears im Netz-Badeanzug an, scannt die bösartige Firefox-Erweiterung nun alle Fotokommentare auf Spears’ Seite. Für jeden berechnet sie einen Hash-Wert. Wenn dieser Wert mit 183 übereinstimmt, wird ein bestimmter Befehl ausgelöst. Tatsächlich ergibt sich eben genau die Zahl aus diesem Kommentar : “2hot make loved to her, uupss #Hot #X”
Der Clou hinter dem von Hackern geposteten Kommentar: Wenn man ihn in einen anderen Code übersetzt, ergibt er einen verborgenen Bit.ly-Link. Und der wiederum führt direkt auf einen sogenannten Command-and-Control-Server, den die Hacker brauchen um ihre Angriffe zu steuern. Den Sicherheitsforschern von Eset wiederum kam der Server bekannt vor: Er war ihnen schon in der Vergangenheit aufgefallen, da er nachweislich von der russischen Turla-Crew für Angriffe genutzt worden war.
Der als Firefox-Erweiterung verkleidete Trojaner bot der Turla-Crew durchaus viele für Hacker interessante Möglichkeiten: Sie konnten den Inhalt eines jeden Verzeichnisses auslesen und an die Hacker zurückliefern, Daten auf den C&C-Server hoch- und herunterladen, und Dateien auf dem infizierten Rechner ausführen. Andere Backdoors oder gar Ransomware können im Vergleich zwar noch mehr – doch auch ein so simpler Trojaner kann potentiell schon viel Schaden anrichten.
Auch wenn die verschlüsselte Instagram-Schnitzeljagd durch das Internet clever und ungewöhnlich ist: So richtig verheerend war die Attacke trotzdem nicht. Wie bei jedem Bit.ly-Link kann man über eine Statistik anzeigen lassen, wie häufig der Pfad zum Command-and-Control-Server abgerufen wurde: In diesem Fall waren es ganze 17 Klicks. Das heißt also: 17 mit der Firefox-Malware infizierte Nutzer haben sich Britney Spears’ Account angeschaut. Laut Eset ist das aber nicht unbedingt ein Beleg für mangelndes Geschick der Hacker, sondern ein Hinweis darauf, „dass es sich nur um einen Testlauf handelte”.
Müssen wir uns nun an solche neben Smoothies und #instafun versteckten Attacken gewöhnen? Und wie sollen wir codierte Angriffs-URLs von den Millionen Quatsch-Kommentaren auf Instagram und anderswo unterscheiden können, die ebenfalls keinerlei Sinn ergeben?
In diesem Fall gibt es gute Nachrichten: Gegen Ende des Jahres wird Firefox die Schwachstelle beseitigt haben. Dann nämlich wird der OpenSource-Browser eine andere Programmierschnittstelle namens WebExtensions für seine Add-ons verwenden, statt sich wie aktuell noch auf die NPAPI zu verlassen, über die bösartige Erweiterungen wie “HTML5 Encode” erst ihre Wirkung entfalten können.
Aber da werden auch die Hacker mithalten und sich bis dahin einen anderen Weg überlegt haben, um uns Malware auf den Rechner zu schmuggeln. Wir dürfen gespannt sein, wessen Popularität in Zukunft als unfreiwilliges Vehikel dienen muss.