Turla, un grupo de ciberespionaje que ha tenido como objetivos a corporaciones, inteligencia y otras agencias gubernamentales por años, está usando una extensión de Firefox para generar puertas traseras en equipos.

La extensión

Nombrada "HTML5 Encoding 0.3.7", la extensión tiene un componente de puerta trasera que puede recopilar información sobre el sistema objetivo, enviarla cifrada al Command and Control (C&C), subir y descargar archivos, ejecutar archivos y leer contenido de directorios.

Se dispersa a través del sitio comprometido de una empresa de seguridad suiza sin nombre, y utiliza una url acortada de bit.ly para llegar a su C&C. La url en cuestión no está incluida dentro del código de la extensión, sino que se calcula a partir de un comentario en una foto publicada en la cuenta oficial de Britney Spears de Instagram.

"La extensión obtendrá el comentario de cada foto y calculará un valor de hash personalizado", observaron los investigadores de ESET. Si el hash coincide con el valor 183, ejecutará una expresión regular en el comentario para obtener la ruta de acceso de bit.ly.

La url de bit.ly apunta a una página que fue usada en el pasado como punto de fuga de información de un C&C por el equipo de Turla. Como se trata de bit.ly, los investigadores fueron capaces de ver cuántas veces se hizo clic en él: fueron 17.

El número es bastante bajo, y esto podría indicar varias cosas (no mutuamente excluyentes): fue una prueba de ejecución, y la campaña de ataque que condujo a la extensión fue limitada/extremadamente especifica.

Los investigadores de ESET también creen que esta extensión es una actualización de una anterior, descrita en un informe de Bitdefender de 2016, y que el Pacifier APT descrito en el informe es el Turla APT (también conocido como Snake, Uroburos o Agent.BTZ).

Sin embargo, esta extensión no será capaz de funcionar como lo hace por demasiado tiempo. "Varias de las API que son usadas por la extensión, desaparecerán en versiones futuras de Firefox", señalaron los investigadores.

"Por ejemplo, utiliza XPCOM para escribir archivos en disco y sdk/system/child_process para iniciar un proceso. Estos solo pueden ser utilizados por complementos que serán reemplazados por WebExtensions a partir de Firefox 57. A partir de esa versión, Firefox ya no cargará add-ons, impidiendo así el uso de estas API.

Turla APT

Turla APT es un grupo de ciberespionaje de habla rusa, pero determinar si está trabajando en favor de un estado-nación o es un grupo que roba información y la vende al mejor postor, es imposible decirlo con seguridad.

Ha estado activo durante los últimos diez años, y posiblemente más. Sus objetivos son a menudo entidades gubernamentales, embajadas, organizaciones militares, de investigación y educación y compañías farmacéuticas.

Turla APT utiliza exploits de día cero, ingeniería social y técnicas para filtrar información para comprometer las computadoras de los objetivos: sistemas que ejecutan Windows, Linux e incluso macOS.

Antes de esto, el grupo ha utilizado otros métodos no convencionales para ocultar la ubicación de sus servidores.