Russiske hackere ændrer chrome firefox til at spore tls webtrafik.

Hacking blomstrer i takt med udviklingen af teknologierne. På samme måde er en gruppe hackere fra Rusland blevet fundet i færd med at hacke de lokalt anvendte browsere Chrome og Firefox. Hackernes formål er at ændre de 2 browseres HTTP-opsætning. Denne gruppe af hackere har til hensigt at tilføje et fingeraftryk for TLS-krypteret webtrafik pr. offer, der stammer fra de hackede systemer.

Turla er navnet på denne hackergruppe, som er kendt for at arbejde under beskyttelse af den russiske regering. I denne uge offentliggjorde Kaspersky en rapport, hvori de oplyste, at ofrene bliver inficeret af hackerne via en trojaner, der fungerer på afstand. Navnet på denne trojanske hest er “Reductor”. Den samme teknik bruger de i disse to browsere.

Hele processen indeholder to store trin. For det første skal hackerne installere deres egne digitale certifikater på hvert inficeret værtssystem. På den måde får hackerne TLS-trafikoplysningerne fra den mistænkte computer. For det andet gør hackerne brug af pseudo-random number generation (PRNG)-funktioner for at ændre Chrome- og Firefox-browsere. Hvis du ikke kender PRNG, bruges det til at generere tilfældige tal og oprette nye TLS handshakes for at etablere HTTPS-forbindelser.

I starten af alle TLS-forbindelser gør Turla – Hackergruppen brug af disse PRNG-funktioner til at tilføje et fingeraftryk. Kaspersky-forskere har i deres rapport, som er udgivet i dag selv, forklaret følgende struktur –

  • Den første fire-byte hash (cert_hash) er bygget op ved hjælp af alle Reductor’s digitale certifikater. For hvert af dem er hash’ens indledende værdi X509-versionnummeret. Derefter XOR-ordnes de sekventielt med alle fire-byte-værdierne fra serienummeret. Alle de talte hash-koder XOR-es med hinanden for at danne den endelige hash-koder. Operatørerne kender denne værdi for hvert offer, fordi den er opbygget ved hjælp af deres digitale certifikater
  • Den anden fire-byte hash (hwid_hash) er baseret på målets hardwareegenskaber: SMBIOS-dato og -version, Video BIOS-dato og -version og harddiskens volumen-ID. Operatørerne kender denne værdi for hvert offer, fordi den bruges til C2-kommunikationsprotokollen.
  • De tre sidstnævnte felter krypteres ved hjælp af de første fire bytes – den indledende PRN XOR-nøgle. Ved hver runde ændres XOR-nøglen med algoritmen MUL 0x48C27395 MOD 0x7FFFFFFFFF. Som følge heraf forbliver bytesne pseudo-tilfældig, men med den unikke vært, ID krypteret indeni.

Kaspersky har ikke forklaret årsagen bag Turlas hacking af webbrowsere. Men det gør sikker en ting, at, alt dette har ikke gjort for at tweaking brugerens krypterede trafik. ‘Reductor’ giver hackerne fuldstændige oplysninger om det målrettede system. Faktisk gør RAT (Reductor) det også muligt for hackere at kende netværkstrafikken i realtid. Uden nogen sikker dom kan det antages, at TLS-fingeraftrykket kan bruges som alternativ overvågning af hackerne.

Læs – Bedste Hacking Apps til Android-telefoner

Med hjælp af TLS-fingeraftrykket kan Turla-gruppens hackere med succes kende den krypterede trafik på websteder, mens de opretter forbindelse til dem i realtid.

Turla anses samlet set for at være den mest fremtrædende hackergruppe på nuværende tidspunkt globalt set. Den måde, de arbejder på, og de teknikker, de bruger, er langt bedre end andre, der udfører det samme arbejde. Til din information, Turla har været kendt for at kapre og udnytte telekommunikationssatellitter for at udsende malware verden over. Det er heller ikke første gang, at Turla-gruppen angriber webbrowsere og indfører malware på værtens systemer.

Denne gruppe har også installeret den bagvedliggende Firefox-tilføjelse i ofrenes browsere tilbage i 2015 for at overvåge aktiviteterne, herunder trafikresultater fra websteder i realtid.

Denne gang patcherer de igen de to udbredte browsere, Chrome og Firefox, for at spore HTTP-trafikken på ofrenes adresse. deres tidligere smarte hacks og teknikker. hjælper dem med at gøre det.

YouTube video: Russiske hackere ændrer chrome firefox til at spore tls webtrafik.


Rate article
Win-info | it-nyheder, anmeldelser af software og computerhjælp