Ruští hackeři upravují Chrome a Firefox tak, aby sledovaly webový provoz TLS

Hacking vzkvétá s pokrokem technologií. Ve stejné linii byla nalezena skupina hackerů z Ruska, kteří hackovali lokálně používané prohlížeče Chrome a Firefox. Účelem hackerů je upravit nastavení HTTP 2 prohlížečů. Tato skupina hackerů má v úmyslu přidat otisk pro webový provoz šifrovaný TLS na oběť, který pochází z napadených systémů.

Turla je název této hackerské skupiny, která je známá tím, že pracuje pod ochranou ruské vlády. Tento týden společnost Kaspersky zveřejnila zprávu, ve které uvedla, že oběti jsou infikovány hackery prostřednictvím trojského koně, který funguje na dálku. Název tohoto trojského koně je ‚Reduktor‘. Stejnou techniku, kterou používají v těchto dvou prohlížečích.

Celý proces obsahuje dva hlavní kroky. Za prvé, hackeři musí do každého infikovaného hostitelského systému nainstalovat své vlastní digitální certifikáty. Hackeři tak získají informace o provozu TLS z podezřelého počítače. Za druhé, za účelem úpravy prohlížečů Chrome a Firefox využívají hackeři funkce generování pseudonáhodných čísel (PRNG). Pokud PRNG neznáte, používá se pro generování náhodných čísel a nastavení nových TLS handshake pro navazování spojení HTTPS.

Na začátku všech připojení TLS využívá Turla – The hacking group tyto funkce PRNG pro přidání otisku prstu. Výzkumníci společnosti Kaspersky ve své zprávě, která je dnes zveřejněna, vysvětlili následující strukturu –

• První čtyřbajtový hash (cert_hash) je vytvořen pomocí všech digitálních certifikátů Reductoru. Pro každý z nich je počáteční hodnotou hashe číslo verze X509. Poté jsou postupně XORed se všemi čtyřbajtovými hodnotami ze sériového čísla. Všechny započítané hashe jsou vzájemně XOR-ed, aby se vytvořil ten konečný. Operátoři znají tuto hodnotu pro každou oběť, protože je vytvořena pomocí jejich digitálních certifikátů
• Druhý čtyřbajtový hash (hwid_hash) je založen na hardwarových vlastnostech cíle: datum a verze SMBIOS, datum a verze systému Video BIOS a ID svazku pevného disku. Operátoři znají tuto hodnotu pro každou oběť, protože se používá pro komunikační protokol C2.
• Poslední tři pole jsou zašifrována pomocí prvních čtyř bajtů – počáteční klíč PRN XOR. V každém kole se klíč XOR mění s algoritmem MUL 0x48C27395 MOD 0x7FFFFFFF. V důsledku toho zůstávají bajty pseudonáhodné, ale s jedinečným hostitelem, uvnitř zašifrovaným ID.

Kaspersky nevysvětlil důvod hackování webových prohlížečů Turlou. Ujišťuje se však o jedné věci, že to vše nebylo provedeno pro vyladění šifrovaného provozu uživatele. „Reduktor“ poskytuje úplné informace o cíleném systému hackerům. Ve skutečnosti RAT (Reductor) také umožňuje hackerům znát síťový provoz v reálném čase. Bez jakéhokoli jistého verdiktu lze předpokládat, že otisk TLS by mohl být použit jako alternativní sledování hackery.

Přečtěte si -Nejlepší hackerské aplikace pro telefony Android

S pomocí otisku TLS mohou hackeři skupiny Turla úspěšně znát šifrovaný provoz webových stránek a připojovat se k nim v reálném čase.

Celkově je Turla v současnosti celosvětově považována za nejvýznamnější hackerskou skupinu. Způsob, jakým pracují, a techniky, které používají, jsou mnohem lepší než ostatní, kteří dělají stejnou práci. Pro vaši informaci, Turla je známá únosem a využíváním telekomunikačních satelitů za účelem šíření malwaru po celém světě. Toto také není první případ, kdy skupina Turla útočí na webové prohlížeče a proniká malware do systémů hostitele.

Tato skupina také v roce 2015 nainstalovala do prohlížečů obětí backdoorový doplněk Firefox pro sledování aktivit včetně výsledků návštěvnosti webových stránek v reálném čase.

Tentokrát opět opravují dva široce používané prohlížeče, Chrome a Firefox, aby sledovaly HTTP provoz na adrese oběti. jejich minulé chytré hacky a techniky. jim v tom pomáhají.