Russische hacker modifizieren chrome-firefox, um tls-webverkehr zu verfolgen

Hacking floriert mit dem Fortschritt der Technologien. In diesem Zusammenhang wurde eine Gruppe von Hackern aus Russland dabei erwischt, wie sie die lokal verwendeten Browser Chrome und Firefox hackte. Das Ziel der Hacker ist es, die HTTP-Einrichtung der beiden Browser zu verändern. Diese Gruppe von Hackern beabsichtigt, einen Fingerabdruck für TLS-verschlüsselten Webverkehr pro Opfer hinzuzufügen, der von den gehackten Systemen ausgeht.

Turla ist der Name dieser Hackergruppe, die dafür bekannt ist, unter dem Schutz der russischen Regierung zu arbeiten. In dieser Woche veröffentlichte Kaspersky einen Bericht, in dem es heißt, dass die Opfer von den Hackern durch einen Trojaner infiziert werden, der aus der Ferne arbeitet. Der Name dieses Trojaners lautet „Reductor“. Die gleiche Technik wird auch bei diesen beiden Browsern eingesetzt.

Der gesamte Prozess umfasst zwei Hauptschritte. Erstens müssen die Hacker ihre eigenen digitalen Zertifikate auf jedem infizierten Hostsystem installieren. Auf diese Weise erhalten die Hacker die TLS-Verkehrsinformationen von dem verdächtigen Computer. Zweitens: Um die Chrome- und Firefox-Browser zu verändern, verwenden die Hacker Funktionen zur Erzeugung von Pseudozufallszahlen (PRNG). Falls Sie PRNG nicht kennen: PRNG wird verwendet, um Zufallszahlen zu generieren und neue TLS-Handshakes für den Aufbau von HTTPS-Verbindungen einzurichten.

Zu Beginn aller TLS-Verbindungen nutzt Turla – The hacking group diese PRNG-Funktion, um einen Fingerabdruck hinzuzufügen. Kaspersky-Forscher haben in ihrem Bericht, der heute selbst veröffentlicht wird, die folgende Struktur erklärt –

  • Der erste Vier-Byte-Hash (cert_hash) wird aus allen digitalen Zertifikaten des Reductors gebildet. Für jedes dieser Zertifikate ist der Anfangswert des Hashes die X509-Versionsnummer. Dann werden sie nacheinander mit allen Vier-Byte-Werten der Seriennummer XOR-verknüpft. Alle gezählten Hashes werden miteinander XOR-verknüpft, um den endgültigen Hashwert zu bilden. Die Betreiber kennen diesen Wert für jedes Opfer, da er mit ihren digitalen Zertifikaten erstellt wird
  • Der zweite Vier-Byte-Hash (hwid_hash) basiert auf den Hardware-Eigenschaften des Ziels: SMBIOS-Datum und -Version, Video-BIOS-Datum und -Version sowie die Volume-ID der Festplatte. Die Betreiber kennen diesen Wert für jedes Opfer, da er für das C2-Kommunikationsprotokoll verwendet wird.
  • Die drei letztgenannten Felder werden mit den ersten vier Bytes – dem anfänglichen PRN-XOR-Schlüssel – verschlüsselt. In jeder Runde ändert sich der XOR-Schlüssel mit dem Algorithmus MUL 0x48C27395 MOD 0x7FFFFFFF. Infolgedessen bleiben die Bytes pseudozufällig, aber mit der eindeutigen Host-ID im Inneren verschlüsselt.

Kaspersky hat den Grund für das Hacken von Webbrowsern durch Turla nicht erklärt. Es stellt jedoch sicher, dass all dies nicht dazu dient, den verschlüsselten Datenverkehr des Benutzers zu manipulieren. Der „Reductor“ gibt den Hackern vollständige Informationen über das Zielsystem. RAT (Reductor) ermöglicht es Hackern sogar, den Netzwerkverkehr in Echtzeit zu verfolgen. Ohne ein sicheres Urteil kann davon ausgegangen werden, dass der TLS-Fingerabdruck von den Hackern als alternative Überwachung verwendet werden könnte.

Lesen – Die besten Hacking-Apps für Android-Telefone

Mit Hilfe des TLS-Fingerabdrucks können die Hacker der Turla-Gruppe erfolgreich den verschlüsselten Datenverkehr von Websites kennen, während sie sich in Echtzeit mit ihnen verbinden.

Gesamt gilt Turla als die derzeit weltweit bekannteste Hackergruppe. Ihre Arbeitsweise und die von ihnen verwendeten Techniken sind weitaus besser als die anderer, die die gleiche Arbeit machen. Zu Ihrer Information: Turla ist dafür bekannt, dass sie Telekommunikationssatelliten gekapert und genutzt hat, um weltweit Schadprogramme zu verbreiten. Außerdem ist dies nicht der erste Fall, in dem die Turla-Gruppe Webbrowser angreift und Malware in die Systeme des Hosts einschleust.

Diese Gruppe hat 2015 auch das Backdoored Firefox Add-on in den Browsern der Opfer installiert, um die Aktivitäten einschließlich der Traffic-Ergebnisse von Websites in Echtzeit zu beobachten.

YouTube video: Russische Hacker modifizieren Chrome-Firefox, um tls-Webverkehr zu verfolgen


Auch dieses Mal patchen sie die beiden weit verbreiteten Browser Chrome und Firefox, um den HTTP-Verkehr auf der Adresse des Opfers zu verfolgen. ihre früheren cleveren Hacks und Techniken helfen ihnen dabei.

Rate article
Win-info | it-nachrichten, software-bewertungen & computer-hilfe