Hackerii ruși modifică chrome firefox pentru a urmări traficul web tls.

Hacking-ul înflorește odată cu avansarea tehnologiilor. În aceeași ordine de idei, a fost descoperit un grup de hackeri din Rusia care a spart browserele utilizate la nivel local, Chrome și Firefox. Scopul hackerilor este de a modifica configurația HTTP a celor 2 browsere. Acest grup de hackeri intenționează să adauge o amprentă digitală pentru traficul web criptat TLS pentru fiecare victimă care provine din sistemele piratate.

Turla este numele acestui grup de hackeri care este bine cunoscut pentru că lucrează sub protecția guvernului rus. Săptămâna aceasta, Kaspersky a publicat un raport în care a afirmat că victimele sunt infectate de hackeri prin intermediul unui troian care funcționează de la distanță. Numele acestui troian este „Reductor”. Aceeași tehnică pe care o folosesc în aceste două browsere.

Întregul proces conține doi pași majori. În primul rând, hackerii trebuie să își instaleze propriile certificate digitale pe fiecare sistem gazdă infectat. Prin aceasta, hackerii obțin informații despre traficul TLS de la computerul suspectat. În al doilea rând, pentru a modifica browserele Chrome și Firefox, hackerii se folosesc de funcții de generare a numerelor pseudo-aleatorii (PRNG). Dacă nu cunoașteți PRNG, acesta este utilizat pentru a genera numere aleatoare și pentru a configura noi handshake-uri TLS pentru stabilirea conexiunilor HTTPS.

La începutul tuturor conexiunilor TLS, Turla – Grupul de hackeri utilizează aceste funcții PRNG pentru a adăuga o amprentă digitală. Cercetătorii Kaspersky au explicat în raportul lor, care este publicat chiar astăzi, următoarea structură –

YouTube video: Hackerii ruși modifică chrome firefox pentru a urmări traficul web tls.


  • Primul hash de patru octeți (cert_hash) este construit folosind toate certificatele digitale ale Reductorului. Pentru fiecare dintre ele, valoarea inițială a hash-ului este numărul versiunii X509. Apoi, acestea sunt secvențial XOR cu toate valorile de patru octeți din numărul de serie. Toate hașurile numărate sunt transformate în XOR unele cu altele pentru a se obține cea finală. Operatorii cunosc această valoare pentru fiecare victimă, deoarece este construită cu ajutorul certificatelor lor digitale
  • Al doilea hash de patru octeți (hwid_hash) se bazează pe proprietățile hardware ale țintei: data și versiunea SMBIOS, data și versiunea BIOS-ului video și ID-ul volumului hard disk-ului. Operatorii cunosc această valoare pentru fiecare victimă, deoarece este utilizată pentru protocolul de comunicare C2.
  • Cele din urmă trei câmpuri sunt criptate cu ajutorul primilor patru octeți – cheia PRN XOR inițială. La fiecare rundă, cheia XOR se schimbă cu ajutorul algoritmului MUL 0x48C27395 MOD 0x7FFFFFFFFF. Ca urmare, octeții rămân pseudo-aleatori, dar cu gazda unică, ID-ul criptat în interior.

Kaspersky nu a explicat motivul din spatele spargerii browserelor web de către Turla. Cu toate acestea, se asigură de un lucru că, toate acestea nu au făcut pentru a modifica traficul criptat al utilizatorului. ‘Reductorul’ oferă hackerilor informații complete despre sistemul vizat. De fapt, RAT (Reductor) permite, de asemenea, hackerilor să cunoască traficul de rețea în timp real. Fără niciun verdict sigur, se poate presupune că amprenta TLS ar putea fi folosită ca supraveghere alternativă de către hackeri.

Citește – Cele mai bune aplicații de hacking pentru telefoane Android

Cu ajutorul amprentei TLS, hackerii din grupul Turla pot cunoaște cu succes traficul criptat al site-urilor web în timp ce se conectează la acestea în timp real.

În total, Turla este considerat cel mai proeminent grup de hacking în prezent la nivel global. Modul în care lucrează și tehnicile folosite de ei sunt mult mai bune decât altele care fac aceeași treabă. Pentru informarea dumneavoastră, Turla este cunoscut pentru deturnarea și utilizarea sateliților de telecomunicații pentru a emite programe malware la nivel mondial. De asemenea, acesta nu este primul caz în care grupul Turla atacă browserele web și introduce programe malware în sistemele gazdelor.

Acest grup a instalat, de asemenea, add-on-ul Firefox backdoored în browserele victimelor încă din 2015 pentru a urmări activitățile, inclusiv rezultatele traficului site-urilor web în timp real.

De data aceasta, din nou, aplică un patch celor două browsere utilizate pe scară largă, Chrome și Firefox, pentru a urmări traficul HTTP pe adresa victimei. hacking-urile și tehnicile lor inteligente din trecut. îi ajută în acest sens.

.

Rate article
Win-info | știri it, recenzii de software și ajutor pentru calculator