Ryska hackare modifierar chrome firefox för att spåra tls webbtrafik.

Hacking blomstrar i takt med att tekniken utvecklas. I samma anda har en grupp hackare från Ryssland upptäckts hacka de lokalt använda webbläsarna Chrome och Firefox. Hackarnas syfte är att ändra de två webbläsarnas HTTP-inställningar. Hackergruppen har för avsikt att lägga till ett fingeravtryck för TLS-krypterad webbtrafik per offer som kommer från de hackade systemen.

Turla är namnet på denna hackergrupp som är välkänd för att arbeta under skydd av den ryska regeringen. I veckan publicerade Kaspersky en rapport där de uppgav att offren infekteras av hackarna genom en trojan som fungerar på distans. Namnet på denna trojan är ”Reductor”. Samma teknik använder de i dessa två webbläsare.

Hela processen innehåller två stora steg. För det första måste hackarna installera sina egna digitala certifikat på varje infekterat värdsystem. På så sätt får hackarna information om TLS-trafiken från den misstänkta datorn. För det andra använder sig hackarna av PRNG-funktioner (pseudo-random number generation) för att ändra Chrome- och Firefox-webbläsarna. Om du inte känner till PRNG används det för att generera slumptal och skapa nya TLS-handskakningar för att upprätta HTTPS-anslutningar.

I början av alla TLS-anslutningar använder Turla – Hackergruppen dessa PRNG-funktioner för att lägga till ett fingeravtryck. Kaspersky-forskarna har i sin rapport som släpps idag förklarat följande struktur –

YouTube video: Ryska hackare modifierar chrome firefox för att spåra tls webbtrafik.


  • Den första fyra-byte hashen (cert_hash) byggs upp med hjälp av alla reduktörens digitala certifikat. För vart och ett av dem är hashens initiala värde X509-versionens nummer. Därefter XOR-ordnas de sekventiellt med alla fyra-byte-värden från serienumret. Alla räknade hashvärden XOR-as med varandra för att skapa det slutliga värdet. Operatörerna känner till detta värde för varje offer eftersom det byggs upp med hjälp av deras digitala certifikat
  • Den andra fyra-byte hashen (hwid_hash) baseras på målets hårdvaruegenskaper: SMBIOS-datum och -version, Video BIOS-datum och -version och hårddiskens volym-ID. Operatörerna känner till detta värde för varje offer eftersom det används för C2-kommunikationsprotokollet.
  • De tre sistnämnda fälten krypteras med hjälp av de första fyra bytena – initial PRN XOR-nyckel. Vid varje omgång ändras XOR-nyckeln med algoritmen MUL 0x48C27395 MOD 0x7FFFFFFFFF. Som ett resultat förblir bytena pseudo slumpmässiga, men med den unika värden, ID krypterad inuti.

Kaspersky har inte förklarat orsaken bakom Turlas hackning av webbläsare. Men det gör säker en sak att, allt detta har inte gjort för att tweaking användarens krypterade trafik. ”Reductor” ger hackare fullständig information om det målinriktade systemet. Faktum är att RAT (Reductor) också gör det möjligt för hackare att känna till nätverkstrafiken i realtid. Utan någon säker dom kan man anta att TLS-fingeravtrycket kan användas som alternativ övervakning av hackarna.

Läs – Bästa Hacking Apps för Android-telefoner

Med hjälp av TLS-fingeravtrycket kan Turla-gruppens hackare framgångsrikt känna till den krypterade trafiken på webbplatser samtidigt som de ansluter sig till dem i realtid.

Turla anses sammantaget vara den mest framstående hackergruppen för närvarande globalt sett. Deras sätt att arbeta och de tekniker som de använder sig av är mycket bättre än andra som gör samma jobb. För din information, Turla har varit känt för att ha kapat och utnyttjat telekommunikationssatelliter för att sända ut skadlig kod över hela världen. Detta är inte heller det första exemplet där Turla-gruppen attackerar webbläsare och lägger in skadlig kod i värdarnas system.

Denna grupp har också installerat det bakåtsträvande Firefox-tillägget i offrens webbläsare redan 2015 för att övervaka aktiviteterna, inklusive trafikresultat från webbplatser, i realtid.

Den här gången patchar de återigen de två vanligaste webbläsarna Chrome och Firefox för att spåra HTTP-trafiken på offrets adress.

Deras tidigare smarta hacker och tekniker hjälper dem att göra det.

Rate article
Win-info | it-nyheter, programvarubedömningar och datorhjälp