Venäläiset hakkerit muokkaavat chromen firefoxia seuraamaan tls-verkkoliikennettä.

Hakkerointi kukoistaa teknologian kehityksen myötä. Samalla linjalla venäläinen hakkeriryhmä on havaittu hakkeroivan paikallisesti käytettyjä selaimia, Chromea ja Firefoxia. Hakkerien tarkoituksena on muuttaa 2 selaimen HTTP-asetuksia. Tämä hakkeriryhmä aikoo lisätä sormenjäljen TLS-salattuun verkkoliikenteeseen uhrikohtaisesti, joka lähtee hakkeroiduista järjestelmistä.

Turla on tämän hakkeriryhmän nimi, joka on tunnettu siitä, että se toimii Venäjän hallituksen suojeluksessa. Tällä viikolla Kaspersky julkaisi raportin, jossa he totesivat, että hakkerit tartuttavat uhrit etänä toimivan troijalaisen avulla. Troijalaisen nimi on Reductor. Samaa tekniikkaa he käyttävät näissä kahdessa selaimessa.

Koko prosessi sisältää kaksi päävaihetta. Ensinnäkin hakkereiden on asennettava omat digitaaliset varmenteensa jokaiseen saastuneeseen isäntäjärjestelmään. Tämän avulla hakkerit saavat TLS-liikennetiedot epäillyltä tietokoneelta. Toiseksi hakkerit käyttävät Chrome- ja Firefox-selainten muokkaamiseen PRNG-toimintoja (pseudo-random number generation). Jos et tunne PRNG:tä, sitä käytetään satunnaislukujen tuottamiseen ja uusien TLS-kättelyjen luomiseen HTTPS-yhteyksien muodostamiseksi.

Kaikkien TLS-yhteyksien alussa Turla - Hakkeriryhmä käyttää näitä PRNG-toimintoja sormenjäljen lisäämiseen. Kasperskyn tutkijat ovat itse tänään julkaistussa raportissaan selittäneet seuraavan rakenteen -

YouTube video: Venäläiset hakkerit muokkaavat chromen firefoxia seuraamaan tls-verkkoliikennettä.

• Ensimmäinen neljän tavun hash (cert_hash) rakennetaan käyttäen kaikkia Reductorin digitaalisia sertifikaatteja. Kunkin niistä hashin alkuarvo on X509-versionumero. Sen jälkeen ne XORoidaan peräkkäin kaikkien sarjanumeron neljän tavun arvojen kanssa. Kaikki lasketut hashit XOR-rataan keskenään lopullisen hashin muodostamiseksi. Operaattorit tietävät tämän arvon jokaisen uhrin osalta, koska se on muodostettu heidän digitaalisten varmenteidensa avulla
• Toinen neljän tavun hash (hwid_hash) perustuu kohteen laitteiston ominaisuuksiin: SMBIOS-päivämäärä ja -versio, Video BIOS-päivämäärä ja -versio sekä kiintolevyn tilavuustunnus. Operaattorit tietävät tämän arvon jokaisesta uhrista, koska sitä käytetään C2-viestintäprotokollassa.
• Kolme jälkimmäistä kenttää salataan käyttämällä neljää ensimmäistä tavua - alkuperäistä PRN XOR-avainta. XOR-avain vaihtuu jokaisella kierroksella MUL 0x48C27395 MOD 0x7FFFFFFFFF -algoritmilla. Tämän seurauksena tavut pysyvät pseudosattumanvaraisina, mutta niiden sisällä on salattu yksilöllinen isäntä, ID.

Kaspersky ei ole selittänyt syytä, miksi Turla on hakkeroinut verkkoselaimia. Se kuitenkin varmistaa yhden asian, että, kaikki tämä ei ole tehty käyttäjän salatun liikenteen virittämiseksi. 'Reductor' antaa hakkereille täydelliset tiedot kohteena olevasta järjestelmästä. Itse asiassa RAT (Reductor) antaa hakkereille myös mahdollisuuden tietää reaaliaikaisen verkkoliikenteen. Ilman mitään varmaa tuomiota voidaan olettaa, että hakkerit saattavat käyttää TLS-sormenjälkeä vaihtoehtoisena valvontana.

T TLS-sormenjäljen avulla Turla-ryhmän hakkerit voivat menestyksekkäästi tietää verkkosivujen salatun liikenteen, kun he ovat yhteydessä niihin reaaliaikaisesti.

Kokonaisuutena Turlaa pidetään tällä hetkellä maailmanlaajuisesti merkittävimpänä hakkeriryhmänä. Heidän toimintatapansa ja käyttämänsä tekniikat ovat paljon parempia kuin muiden samaa työtä tekevien. Tiedoksesi, Turla on tunnettu televiestintäsatelliittien kaappaamisesta ja hyödyntämisestä haittaohjelmien lähettämiseksi maailmanlaajuisesti. Tämä ei myöskään ole ensimmäinen tapaus, jossa Turla-ryhmä hyökkää verkkoselaimiin ja tunkeutuu haittaohjelmia isännän järjestelmiin.

Tämä ryhmä on myös asentanut uhrin selaimiin backdoored Firefox-lisäosan vuonna 2015 seuratakseen toimintoja, mukaan lukien verkkosivujen liikennetuloksia, reaaliajassa.

Tälläkin kertaa he paikkaavat kahta laajalti käytettyä selainta, Chromea ja Firefoxia, seuratakseen HTTP-liikennettä uhrin osoitteessa.

Heidän aiemmat nokkelat hakkerointitapahtumansa ja tekniikkansa. auttavat heitä tässä.