Rosyjscy hakerzy modyfikują firefoxa chrome, aby śledzić ruch internetowy tls

Hacking kwitnie wraz z postępem technologii. W tej samej linii, grupa hakerów z Rosji została znaleziona włamując się do lokalnie używanych przeglądarek, Chrome i Firefox. Celem hakerów jest modyfikacja konfiguracji HTTP tych dwóch przeglądarek. Ta grupa hakerów zamierza dodać odcisk palca dla szyfrowanego TLS ruchu sieciowego na ofiarę, który pochodzi ze zhakowanych systemów.

Turla to nazwa tej grupy hakerów, która jest dobrze znana z pracy pod ochroną rosyjskiego rządu. W tym tygodniu firma Kaspersky opublikowała raport, w którym stwierdziła, że ofiary są infekowane przez hakerów za pośrednictwem trojana, który działa zdalnie. Nazwa tego trojana to „Reductor”. Ta sama technika jest używana w tych dwóch przeglądarkach.

Cały proces zawiera dwa główne kroki. Po pierwsze, hakerzy muszą zainstalować swoje własne certyfikaty cyfrowe w każdym zainfekowanym systemie hosta. W ten sposób hakerzy uzyskują informacje o ruchu TLS z podejrzanego komputera. Po drugie, w celu zmodyfikowania przeglądarek Chrome i Firefox, hakerzy wykorzystują funkcje generowania liczb pseudolosowych (PRNG). Jeżeli nie znasz PRNG, jest on wykorzystywany do generowania liczb losowych i ustanawiania nowych handshake’ów TLS w celu ustanowienia połączeń HTTPS.

Na początku wszystkich połączeń TLS, Turla – grupa hakerska wykorzystuje funkcję PRNG do dodania odcisku palca. Badacze Kaspersky wyjaśnili w swoim raporcie, który został wydany dzisiaj, następującą strukturę –

  • Pierwszy czterobajtowy hash (cert_hash) jest budowany przy użyciu wszystkich certyfikatów cyfrowych Reduktora. Dla każdego z nich początkową wartością hasha jest numer wersji X509. Następnie są one kolejno XORowane z wszystkimi czterobajtowymi wartościami z numeru seryjnego. Wszystkie zliczone hashe są XOR-owane ze sobą w celu uzyskania końcowego hasha. Operatorzy znają tę wartość dla każdej ofiary, ponieważ jest ona budowana na podstawie ich cyfrowych certyfikatów
  • Drugi czterobajtowy hash (hwid_hash) jest oparty na właściwościach sprzętowych celu: SMBIOS data i wersja, Video BIOS data i wersja oraz ID woluminu dysku twardego. Operatorzy znają tę wartość dla każdej ofiary, ponieważ jest ona wykorzystywana w protokole komunikacyjnym C2.
  • Te trzy ostatnie pola są szyfrowane przy użyciu pierwszych czterech bajtów – początkowego klucza XOR PRN. W każdej rundzie klucz XOR zmienia się za pomocą algorytmu MUL 0x48C27395 MOD 0x7FFFFFFF. W rezultacie bajty pozostają pseudolosowe, ale z zaszyfrowanym wewnątrz unikalnym hostem, ID.

Kaspersky nie wyjaśnił przyczyny włamania do przeglądarek internetowych przez Turla. Upewnia się jednak co do jednego, że wszystko to nie ma na celu podrasowania zaszyfrowanego ruchu użytkownika. Reductor” daje hakerom pełne informacje na temat systemu, który jest celem ataku. W rzeczywistości, RAT (Reductor) umożliwia również hakerom poznanie ruchu sieciowego w czasie rzeczywistym. Bez żadnego pewnego werdyktu, można założyć, że odcisk palca TLS może być używany jako alternatywny nadzór przez hakerów.

Czytaj – Najlepsze aplikacje hakerskie dla telefonów z Androidem

Z pomocą odcisku palca TLS, hakerzy z grupy Turla mogą z powodzeniem poznać zaszyfrowany ruch na stronach internetowych podczas łączenia się z nimi w czasie rzeczywistym.

W sumie, Turla jest uważana za najbardziej znaną grupę hakerską obecnie na świecie. Sposób ich pracy i techniki używane przez nich są o wiele lepsze niż innych wykonujących tę samą pracę. Dla twojej informacji, Turla jest znana z porywania i wykorzystywania satelitów telekomunikacyjnych w celu emitowania złośliwego oprogramowania na całym świecie. Ponadto, nie jest to pierwszy przypadek grupy Turla atakującej przeglądarki internetowe i wprowadzającej złośliwe oprogramowanie do systemów hosta.

Ta grupa również zainstalowała dodatek backdoored Firefox w przeglądarkach ofiar w 2015 roku w celu obserwowania działań, w tym wyników ruchu na stronach internetowych w czasie rzeczywistym.

YouTube video: Rosyjscy hakerzy modyfikują firefoxa chrome, aby śledzić ruch internetowy tls


Tym razem ponownie łatają dwie powszechnie używane przeglądarki, Chrome i Firefox, w celu śledzenia ruchu HTTP na adresie ofiary. ich poprzednie sprytne hacki i techniki. pomagają im w tym.

Rate article
Win-info | wiadomości it, recenzje oprogramowania i pomoc komputerowa