Russische hackers modificeren chrome firefox om tls webverkeer te volgen.

Hacking bloeit met de vooruitgang van de technologie. In dezelfde lijn, is een groep hackers uit Rusland gevonden die de lokaal gebruikte browsers, Chrome en Firefox, hacken. Het doel van de hackers is om de HTTP set-up van de 2 browsers te wijzigen. Deze groep hackers is van plan om per slachtoffer een vingerafdruk toe te voegen voor TLS-gecodeerd webverkeer dat afkomstig is van de gehackte systemen.

Turla is de naam van deze hackersgroep die bekend staat om het werken onder bescherming van de Russische overheid. Deze week publiceerde Kaspersky een rapport waarin zij stelden dat slachtoffers door hackers worden besmet via een trojan die op afstand werkt. De naam van deze Trojan is, ‘Reductor’. Dezelfde techniek gebruiken ze in deze twee browsers.

Het hele proces bevat twee grote stappen. Ten eerste moeten hackers hun eigen digitale certificaten installeren op elk geïnfecteerd host systeem. Hierdoor krijgen de hackers de TLS verkeersinformatie van de verdachte computer. Ten tweede, om de Chrome en Firefox browsers aan te passen, maken hackers gebruik van pseudo-random nummer generatie (PRNG) functies. Als u PRNG niet kent, wordt het gebruikt voor het genereren van willekeurige getallen en het opzetten van nieuwe TLS-handshakes voor het opzetten van HTTPS-verbindingen.

Aan het begin van alle TLS-verbindingen, maakt Turla – De hackersgroep gebruik van deze PRNG-functie voor het toevoegen van een vingerafdruk. De onderzoekers van Kaspersky hebben in hun rapport, dat vandaag zelf is vrijgegeven, de volgende structuur uitgelegd –

YouTube video: Russische hackers modificeren chrome firefox om tls webverkeer te volgen.


  • De eerste hash van vier bytes (cert_hash) wordt opgebouwd met behulp van alle digitale certificaten van de Reductor. Voor elk van hen is de beginwaarde van de hash het X509 versienummer. Daarna worden ze achtereenvolgens XORed met alle vier-byte waarden uit het serienummer. Alle getelde hashes worden met elkaar ge-XOR-ed om de uiteindelijke hash te maken. De operators kennen deze waarde voor elk slachtoffer omdat hij is opgebouwd met behulp van hun digitale certificaten
  • De tweede hash van vier bytes (hwid_hash) is gebaseerd op de hardware-eigenschappen van het doelwit: SMBIOS datum en versie, Video BIOS datum en versie en harde schijf volume ID. De operators kennen deze waarde voor elk slachtoffer omdat het wordt gebruikt voor het C2-communicatieprotocol.
  • De laatste drie velden worden versleuteld met behulp van de eerste vier bytes – initiële PRN XOR-sleutel. Bij elke ronde verandert de XOR-sleutel met het MUL 0x48C27395 MOD 0x7FFFFF algoritme. Het resultaat is dat de bytes pseudo-willekeurig blijven, maar met de unieke host, ID erin versleuteld.

Kaspersky heeft de reden achter het hacken van webbrowsers door Turla niet verklaard. Echter, het zorgt ervoor dat een ding dat, dit alles niet heeft gedaan voor het tweaken van de gebruiker gecodeerd verkeer. De ‘Reductor’ geeft volledige informatie over het beoogde systeem aan hackers. In feite, RAT (Reductor) stelt ook hackers in staat om te weten real-time netwerkverkeer. Zonder enig zeker oordeel, kan worden aangenomen dat de TLS-vingerafdruk zou kunnen worden gebruikt als alternatieve surveillance door de hackers.

Lees – Best Hacking Apps for Android Phones

Met behulp van de TLS-vingerafdruk, kunnen Turla-groep hackers met succes het versleutelde verkeer van websites kennen terwijl ze in real-time verbinding met hen maken.

Al met al, Turla wordt beschouwd als de meest prominente hacking groep op dit moment wereldwijd. De manier waarop ze werken en de technieken die ze gebruiken zijn veel beter dan anderen die hetzelfde werk doen. Ter informatie: Turla staat bekend om het kapen en gebruiken van telecommunicatiesatellieten om wereldwijd malware uit te zenden. Ook is dit niet het eerste geval van de Turla-groep die webbrowsers aanvalt en malware binnendringt op de systemen van de host.

Deze groep heeft ook de backdoored Firefox add-on geïnstalleerd in de browsers van de slachtoffers terug in 2015 voor het bekijken van de activiteiten inclusief verkeersresultaten van websites in real-time.

Deze keer weer patchen ze de twee veelgebruikte browsers, Chrome en Firefox, om het HTTP-verkeer op het adres van het slachtoffer te volgen. hun verleden slimme hacks en technieken. helpen hen daarbij.

Rate article
Win-info | it nieuws, software reviews & computer hulp