HTCinside


Руски хакери модифицират Chrome и Firefox, за да проследяват TLS уеб трафик

Хакерството процъфтява с напредването на технологиите. В същия ред група хакери от Русия са открити да хакват локално използваните браузъри Chrome и Firefox. Целта на хакерите е да променят HTTP настройките на двата браузъра. Тази група хакери възнамерява да добави пръстов отпечатък за TLS-криптиран уеб трафик на жертва, който произтича от хакнатите системи.

Turla е името на тази хакерска група, която е добре известна с това, че работи под закрилата на руското правителство. Тази седмица Kaspersky публикува доклад, в който заяви, че жертвите са заразени от хакери чрез троянски кон, който работи дистанционно. Името на този троянски кон е „Редуктор“. Същата техника, която използват в тези два браузъра.

Целият процес включва две основни стъпки. Първо, хакерите трябва да инсталират свои собствени цифрови сертификати на всяка заразена хост система. По този начин хакерите получават информация за трафика на TLS от предполагаемия компютър. Второ, за да променят браузърите Chrome и Firefox, хакерите използват функциите за генериране на псевдослучайни числа (PRNG). Ако не знаете PRNG, той се използва за генериране на произволни числа и настройка на нови TLS ръкостискания за установяване на HTTPS връзки.

В началото на всички TLS връзки Turla – хакерската група използва тези PRNG функции за добавяне на пръстов отпечатък. Изследователите на Kaspersky обясниха в своя доклад, който беше публикуван днес, следната структура –

  • Първият четирибайтов хеш (cert_hash) е изграден с помощта на всички цифрови сертификати на Reductor. За всеки от тях първоначалната стойност на хеша е номерът на версията X509. След това те се подлагат последователно на XOR с всички четирибайтови стойности от серийния номер. Всички преброени хешове са XOR-ed един с друг, за да се изгради окончателният. Операторите знаят тази стойност за всяка жертва, защото е изградена с помощта на техните цифрови сертификати
  • Вторият четирибайтов хеш (hwid_hash) се основава на хардуерните свойства на целта: дата и версия на SMBIOS, дата и версия на BIOS за видео и ID на тома на твърдия диск. Операторите знаят тази стойност за всяка жертва, защото се използва за комуникационния протокол C2.
  • Последните три полета са криптирани с помощта на първите четири байта – първоначален PRN XOR ключ. Във всеки рунд ключът XOR се променя с алгоритъма MUL 0x48C27395 MOD 0x7FFFFFFF. В резултат на това байтовете остават псевдослучайни, но с уникален хост, ID криптиран вътре.

Kaspersky не е обяснил причината за хакването на уеб браузъри от Turla. Въпреки това, той гарантира едно нещо, че всичко това не е направило за настройка на шифрования трафик на потребителя. „Редукторът“ дава пълна информация за целевата система на хакерите. Всъщност RAT (Reductor) също позволява на хакерите да познават мрежовия трафик в реално време. Без никаква сигурна присъда може да се предположи, че пръстовият отпечатък на TLS може да се използва като алтернативно наблюдение от хакерите.

Прочети -Най-добрите хакерски приложения за телефони с Android

С помощта на пръстовия отпечатък на TLS, хакерите от Turla Group могат успешно да познават криптирания трафик на уебсайтове, докато се свързват с тях в реално време.

Като цяло Turla се счита за най-известната хакерска група в момента в световен мащаб. Начинът, по който работят и техниките, използвани от тях, са много по-добри от другите, които вършат същата работа. За ваша информация Turla е известна с това, че отвлича и използва телекомуникационни сателити, за да излъчва зловреден софтуер по целия свят. Също така, това не е първият случай на група Turla, която атакува уеб браузъри и навлиза зловреден софтуер в системите на хоста.

Тази група също така е инсталирала добавката за Firefox със задна врата в браузърите на жертвите през 2015 г. за наблюдение на дейностите, включително резултатите от трафика на уебсайтове в реално време.

Този път отново те коригират двата широко използвани браузъра, Chrome и Firefox, за да проследяват HTTP трафика на адреса на жертвата. миналите им умни хакове и техники. им помагат в това.