Des pirates russes modifient chrome firefox pour suivre le trafic web tls

Le piratage informatique est florissant avec l’avancée des technologies. Dans le même ordre d’idée, un groupe de hackers de Russie a été trouvé en train de pirater les navigateurs utilisés localement, Chrome et Firefox. L’objectif des pirates est de modifier la configuration HTTP de ces deux navigateurs. Ce groupe de hackers a l’intention d’ajouter une empreinte digitale pour le trafic web crypté TLS par victime qui provient des systèmes piratés.

Turla est le nom de ce groupe de hackers qui est bien connu pour travailler sous la protection du gouvernement russe. Cette semaine, Kaspersky a publié un rapport dans lequel ils ont déclaré que les victimes sont infectées par les pirates via un cheval de Troie qui fonctionne à distance. Le nom de ce cheval de Troie est « Reductor ». La même technique qu’ils utilisent dans ces deux navigateurs.

L’ensemble du processus contient deux étapes majeures. Tout d’abord, les pirates doivent installer leurs propres certificats numériques sur chaque système hôte infecté. Par ce biais, les pirates obtiennent les informations sur le trafic TLS de l’ordinateur suspect. Deuxièmement, afin de modifier les navigateurs Chrome et Firefox, les pirates utilisent des fonctions de génération de nombres pseudo-aléatoires (PRNG). Si vous ne connaissez pas la PRNG, elle est utilisée pour générer des nombres aléatoires et mettre en place de nouvelles poignées de main TLS pour établir des connexions HTTPS.

Au début de toutes les connexions TLS, Turla – Le groupe de pirates utilisent ces fonctions PRNG pour ajouter une empreinte digitale. Les chercheurs de Kaspersky ont expliqué dans leur rapport qui est publié aujourd’hui même, la structure suivante –

  • Le premier hachage de quatre octets (cert_hash) est construit en utilisant tous les certificats numériques du Réducteur. Pour chacun d’eux, la valeur initiale du hachage est le numéro de version X509. Ensuite, ils sont séquentiellement XORés avec toutes les valeurs à quatre octets du numéro de série. Tous les hachages comptés sont soumis à une opération XOR les uns avec les autres pour obtenir la valeur finale. Les opérateurs connaissent cette valeur pour chaque victime car elle est construite à l’aide de leurs certificats numériques
  • Le deuxième hachage de quatre octets (hwid_hash) est basé sur les propriétés matérielles de la cible : Date et version du SMBIOS, date et version du BIOS vidéo et ID du volume du disque dur. Les opérateurs connaissent cette valeur pour chaque victime car elle est utilisée pour le protocole de communication C2.
  • Ces trois derniers champs sont chiffrés à l’aide des quatre premiers octets – clé XOR PRN initiale. À chaque tour, la clé XOR change avec l’algorithme MUL 0x48C27395 MOD 0x7FFFFFFF. Par conséquent, les octets restent pseudo-aléatoires, mais avec l’hôte unique, l’ID chiffré à l’intérieur.

Kaspersky n’a pas expliqué la raison derrière le piratage des navigateurs web par Turla. Cependant, il s’assure d’une chose, tout cela n’a pas fait pour tordre le trafic crypté de l’utilisateur. Le « Reductor » donne des informations complètes sur le système ciblé aux pirates. En fait, le RAT (Reductor) permet également aux pirates de connaître le trafic réseau en temps réel. Sans aucun verdict sûr, on peut supposer que l’empreinte TLS pourrait être utilisée comme surveillance alternative par les pirates.

Lire – Les meilleures applications de piratage pour les téléphones Android

Avec l’aide de l’empreinte TLS, les pirates du groupe Turla peuvent connaître avec succès le trafic crypté des sites Web tout en se connectant à eux en temps réel.

Vidéo YouTube: Des pirates russes modifient chrome firefox pour suivre le trafic web tls


En tout, Turla est considéré comme le groupe de pirates le plus important actuellement au niveau mondial. La façon dont ils travaillent et les techniques utilisées par eux sont bien meilleures que d’autres faisant le même travail. Pour votre information, Turla est connu pour avoir détourné et utilisé des satellites de télécommunication afin d’émettre des logiciels malveillants dans le monde entier. En outre, ce n’est pas la première fois que le groupe Turla attaque les navigateurs web et intruse des logiciels malveillants sur les systèmes de l’hôte.

Ce groupe a également installé l’add-on Firefox backdoored dans les navigateurs des victimes en 2015 pour surveiller les activités, y compris les résultats du trafic des sites web en temps réel.

Cette fois encore, ils patchent les deux navigateurs largement utilisés, Chrome et Firefox, pour suivre le trafic HTTP sur l’adresse de la victime. leurs hacks et techniques intelligents passés. les aident à le faire.

Rate article
Win-info | actualités informatiques, critiques de logiciels et aide informatique