ru | de | da | nl | sv | fi | fr | it | es | pt | ro | el | pl | cs |

Сб 28 Май 2022

Российские хакеры модифицируют chrome firefox для отслеживания веб-трафика tls.

  • 9 декабря 2021 г.

Хакерство процветает с развитием технологий. В связи с этим группа хакеров из России была уличена во взломе локально используемых браузеров Chrome и Firefox. Цель хакеров - изменить HTTP настройки этих двух браузеров. Эта группа хакеров намерена добавить отпечаток пальца для зашифрованного TLS веб-трафика каждой жертвы, который исходит от взломанных систем.

Turla - название этой хакерской группы, которая известна тем, что работает под защитой российского правительства. На этой неделе компания "Касперский" опубликовала отчет, в котором говорится, что жертвы заражаются от хакеров с помощью трояна, который работает удаленно. Название этого троянца - 'Reductor'. Такую же технику они используют в этих двух браузерах.

YouTube video: Российские хакеры модифицируют chrome firefox для отслеживания веб-трафика tls.


Весь процесс состоит из двух основных этапов. Во-первых, хакеры должны установить свои собственные цифровые сертификаты на каждую зараженную хост-систему. Таким образом, хакеры получают информацию о трафике TLS с подозреваемого компьютера. Во-вторых, для модификации браузеров Chrome и Firefox хакеры используют функции генерации псевдослучайных чисел (PRNG). Если вы не знаете, PRNG используется для генерации случайных чисел и установки новых рукопожатий TLS для создания HTTPS-соединений.

В начале всех TLS-соединений Turla - хакерская группа использует эти функции PRNG для добавления отпечатка пальца. Исследователи Касперского в своем отчете, который был опубликован сегодня, объяснили следующую структуру -

  • Первый четырехбайтовый хэш (cert_hash) строится с использованием всех цифровых сертификатов Reductor. Для каждого из них начальным значением хэша является номер версии X509. Затем к ним последовательно прибавляются все четырехбайтовые значения из серийного номера. Все подсчитанные хэши перемножаются друг с другом для получения окончательного значения. Операторы знают это значение для каждой жертвы, поскольку оно построено с использованием их цифровых сертификатов
  • Второй четырехбайтовый хэш (hwid_hash) основан на аппаратных свойствах цели: дата и версия SMBIOS, дата и версия Video BIOS и идентификатор тома жесткого диска. Операторы знают это значение для каждой жертвы, поскольку оно используется для протокола связи C2.
  • Последние три поля шифруются с помощью первых четырех байт - начального PRN XOR-ключа. На каждом раунде XOR-ключ меняется с помощью алгоритма MUL 0x48C27395 MOD 0x7FFFFF. В результате байты остаются псевдослучайными, но с зашифрованным внутри уникальным ID хоста.

Касперский не объяснил причину взлома браузеров Turla. Однако он уверен в одном: все это делается не для того, чтобы подделать зашифрованный трафик пользователя. Редуктор" предоставляет хакерам полную информацию о целевой системе. Фактически, RAT (Reductor) также позволяет хакерам узнать сетевой трафик в режиме реального времени. Без каких-либо уверенных вердиктов можно предположить, что отпечаток TLS может использоваться хакерами в качестве альтернативного средства наблюдения.

Читайте - Лучшие хакерские приложения для телефонов Android

С помощью отпечатка TLS хакеры группы Turla могут успешно узнавать зашифрованный трафик веб-сайтов при подключении к ним в режиме реального времени.

В целом, Turla считается самой известной хакерской группой в настоящее время во всем мире. Их методы работы и приемы, используемые ими, намного лучше, чем у других, выполняющих ту же работу. К вашему сведению, Turla известна тем, что захватывала и использовала телекоммуникационные спутники для распространения вредоносных программ по всему миру. Кроме того, это не первый случай, когда группа Turla атакует веб-браузеры и внедряет вредоносное ПО в системы хозяев.

В 2015 году эта группа также установила в браузеры жертв дополнение Firefox для отслеживания действий, включая результаты трафика веб-сайтов в режиме реального времени.

В этот раз они снова вносят исправления в два широко используемых браузера, Chrome и Firefox, чтобы отслеживать HTTP-трафик на адресе жертвы.

Предыдущий пост

Как исправить ошибку fortnite mic not working

Следующий пост

Что вам нужно, чтобы начать получать удовольствие от онлайн-терапии?

Похожие статьи

Оставить отзыв