HTCinside


Venäläiset hakkerit muokkaavat Chromea ja Firefoxia seuraamaan TLS-verkkoliikennettä

Hakkerointi kukoistaa tekniikan kehittyessä. Samalla rivillä on löydetty joukko venäläisiä hakkereita, jotka hakkeroivat paikallisesti käytettyjä selaimia, Chromea ja Firefoxia. Hakkerien tarkoitus on muokata kahden selaimen HTTP-asetuksia. Tämä hakkeriryhmä aikoo lisätä sormenjäljen TLS-salatulle verkkoliikenteelle hakkeroiduista järjestelmistä peräisin olevalle uhrille.

Turla on tämän hakkerointiryhmän nimi, joka tunnetaan Venäjän hallituksen suojeluksessa. Tällä viikolla Kaspersky julkaisi raportin, jossa he totesivat, että uhrit ovat saaneet tartunnan hakkereilta etäkäyttöisen troijalaisen kautta. Tämän troijalaisen nimi on 'Reductor'. Sama tekniikka, jota he käyttävät näissä kahdessa selaimessa.

Koko prosessi sisältää kaksi päävaihetta. Ensinnäkin hakkereiden on asennettava omat digitaaliset sertifikaattinsa jokaiseen tartunnan saaneeseen isäntäjärjestelmään. Näin hakkerit saavat TLS-liikennetiedot epäillyltä tietokoneelta. Toiseksi hakkerit käyttävät pseudosatunnaislukujen generointitoimintoja (PRNG) muokatakseen Chrome- ja Firefox-selaimia. Jos et tunne PRNG:tä, sitä käytetään satunnaislukujen luomiseen ja uusien TLS-kättelyjen asettamiseen HTTPS-yhteyksien muodostamista varten.

Kaikkien TLS-yhteyksien alussa Turla – Hakkerointiryhmä käyttää näitä PRNG-toimintoja sormenjäljen lisäämiseen. Kasperskyn tutkijat ovat selittäneet tänään julkaistussa raportissaan seuraavan rakenteen:

  • Ensimmäinen neljän tavun tiiviste (cert_hash) on rakennettu käyttämällä kaikkia Reductorin digitaalisia varmenteita. Jokaiselle niistä hashin alkuarvo on X509-versionumero. Sitten ne XOR-kirjoitetaan peräkkäin kaikilla sarjanumeron neljän tavun arvoilla. Kaikki lasketut tiivisteet XOR-edetaan keskenään lopullisen tiivisteen muodostamiseksi. Operaattorit tietävät tämän arvon jokaiselle uhrille, koska se on rakennettu heidän digitaalisilla varmenteilla
  • Toinen neljän tavun tiiviste (hwid_hash) perustuu kohteen laitteisto-ominaisuuksiin: SMBIOS-päivämäärä ja -versio, Video BIOS -päivämäärä ja -versio sekä kiintolevyaseman tunnus. Operaattorit tietävät tämän arvon jokaiselle uhrille, koska sitä käytetään C2-viestintäprotokollassa.
  • Kolme viimeksi mainittua kenttää salataan käyttämällä neljää ensimmäistä tavua – alkuperäistä PRN XOR -avainta. Jokaisella kierroksella XOR-avain muuttuu MUL 0x48C27395 MOD 0x7FFFFFFF -algoritmin mukaan. Tämän seurauksena tavut pysyvät näennäissatunnaisina, mutta yksilöllisen isäntätunnuksen sisällä on salattu.

Kaspersky ei ole selittänyt syytä Turlan verkkoselaimien hakkerointiin. Se kuitenkin varmistaa yhden asian, että kaikki tämä ei ole parantanut käyttäjän salattua liikennettä. 'Reductor' antaa täydelliset tiedot kohdistetusta järjestelmästä hakkereille. Itse asiassa RAT (Reductor) antaa hakkereille mahdollisuuden tietää myös reaaliaikaisen verkkoliikenteen. Ilman varmaa tuomiota voidaan olettaa, että hakkerit saattavat käyttää TLS-sormenjälkeä vaihtoehtoisena valvontana.

Lukea -Parhaat hakkerointisovellukset Android-puhelimille

TLS-sormenjäljen avulla Turla-ryhmän hakkerit voivat onnistuneesti tietää verkkosivujen salatun liikenteen samalla kun muodostavat yhteyden niihin reaaliajassa.

Kaiken kaikkiaan Turlaa pidetään tällä hetkellä merkittävimpänä hakkerointiryhmänä maailmanlaajuisesti. Heidän työskentelytapansa ja heidän käyttämänsä tekniikat ovat paljon parempia kuin muut samaa työtä tekevät. Tiedoksi, Turla on ollut tunnettu tietoliikennesatelliittien kaappauksesta ja hyödyntämisestä haittaohjelmien levittämiseen maailmanlaajuisesti. Tämä ei myöskään ole ensimmäinen tapaus, jossa Turla-ryhmä hyökkää verkkoselaimiin ja tunkeutuu haittaohjelmiin isännän järjestelmiin.

Tämä ryhmä on myös asentanut takaovisen Firefox-lisäosan uhrien selaimiin jo vuonna 2015 seuratakseen toimintaa, mukaan lukien verkkosivustojen liikennetulokset, reaaliajassa.

Tällä kertaa he korjaavat kahta laajalti käytettyä selainta, Chromea ja Firefoxia, seuratakseen uhrin osoitteen HTTP-liikennettä. heidän menneisyytensä älykkäitä hakkereita ja tekniikoita. auttavat heitä siinä.