Ruští hackeři upravují chrome firefox pro sledování tls webového provozu.

S rozvojem technologií vzkvétá i hacking. Ve stejné linii byla odhalena skupina hackerů z Ruska, která se nabourala do lokálně používaných prohlížečů Chrome a Firefox. Cílem hackerů je upravit nastavení HTTP těchto dvou prohlížečů. Tato skupina hackerů má v úmyslu přidat otisk prstu pro webový provoz šifrovaný pomocí TLS na oběť, který pochází z hacknutých systémů.

Turla je název této hackerské skupiny, která je známá tím, že pracuje pod ochranou ruské vlády. Tento týden společnost Kaspersky zveřejnila zprávu, ve které uvedla, že oběti jsou hackery infikovány prostřednictvím trojského koně, který funguje na dálku. Název tohoto trojského koně je „Reductor“. Stejnou techniku používají i v těchto dvou prohlížečích.

Celý proces obsahuje dva hlavní kroky. Za prvé musí hackeři do každého infikovaného hostitelského systému nainstalovat vlastní digitální certifikáty. Tímto způsobem hackeři získají informace o provozu TLS z podezřelého počítače. Za druhé, aby mohli upravit prohlížeče Chrome a Firefox, využívají hackeři funkce generování pseudonáhodných čísel (PRNG). Pokud PRNG neznáte, slouží k vygenerování náhodných čísel a nastavení nových handshaků TLS pro navázání spojení HTTPS.

Na začátku všech spojení TLS využívá Turla – Skupina hackerů tyto funkce PRNG pro přidání otisku prstu. Výzkumníci společnosti Kaspersky ve své zprávě, kterou dnes sami zveřejnili, vysvětlili následující strukturu –

  • První čtyřbajtový hash (cert_hash) je sestaven pomocí všech digitálních certifikátů Reductoru. Pro každý z nich je počáteční hodnotou hashe číslo verze X509. Poté jsou postupně XORovány se všemi čtyřbajtovými hodnotami ze sériového čísla. Všechny spočítané hashe se navzájem XORují a vytvoří se konečný hash. Operátoři tuto hodnotu znají pro každou oběť, protože je sestavena pomocí jejich digitálních certifikátů
  • Druhý čtyřbajtový hash (hwid_hash) vychází z hardwarových vlastností cíle: Datum a verze systému SMBIOS, datum a verze systému Video BIOS a ID svazku pevného disku. Operátoři tuto hodnotu znají pro každou oběť, protože se používá pro komunikační protokol C2.
  • Druhá tři pole jsou šifrována pomocí prvních čtyř bajtů – počátečního klíče PRN XOR. V každém kole se klíč XOR mění pomocí algoritmu MUL 0x48C27395 MOD 0x7FFFFFFFFF. Výsledkem je, že bajty zůstávají pseudonáhodné, ale s unikátním hostitelem, ID zašifrovaným uvnitř.

Kaspersky nevysvětlil důvod hacknutí webových prohlížečů Turla. Ujišťuje však o jedné věci, že to vše neudělal pro vylepšení šifrovaného provozu uživatele. ‚Reductor‘ poskytuje hackerům kompletní informace o cílovém systému. Ve skutečnosti RAT (Reductor) také umožňuje hackerům znát síťový provoz v reálném čase. Bez jakéhokoli jistého verdiktu lze předpokládat, že otisk TLS mohou hackeři používat jako alternativní sledování.

Přečtěte si – Nejlepší hackerské aplikace pro telefony se systémem Android

Pomocí otisku TLS mohou hackeři skupiny Turla úspěšně znát šifrovaný provoz webových stránek při připojení k nim v reálném čase.

YouTube video: Ruští hackeři upravují Chrome Firefox pro sledování tls webového provozu.


Celkově je skupina Turla považována za nejvýznamnější hackerskou skupinu současnosti na celém světě. Způsob jejich práce a jimi používané techniky jsou mnohem lepší než u ostatních, kteří dělají stejnou práci. Pro vaši informaci, Turla je známá tím, že unáší a využívá telekomunikační satelity za účelem vysílání malwaru po celém světě. Také to není první případ, kdy skupina Turla napadá webové prohlížeče a vniká s malwarem do systémů hostitelů.

Tato skupina také již v roce 2015 nainstalovala do prohlížečů obětí zpětný doplněk pro Firefox, který slouží ke sledování aktivit včetně výsledků provozu webových stránek v reálném čase.

Tentokrát opět záplatují dva široce používané prohlížeče, Chrome a Firefox, aby mohli sledovat provoz HTTP na adrese oběti. pomáhají jim v tom jejich dřívější chytré hacky a techniky.

Rate article
Win-info | it novinky, recenze softwaru a nápověda k počítačům