HTCinside


Russiske hackere ændrer Chrome og Firefox for at spore TLS-webtrafik

Hacking blomstrer med udviklingen af ​​teknologier. I samme linje er en gruppe hackere fra Rusland blevet fundet, der hacker de lokalt brugte browsere, Chrome og Firefox. Formålet med hackerne er at ændre de 2 browseres HTTP-opsætning. Denne gruppe af hackere har til hensigt at tilføje et fingeraftryk for TLS-krypteret webtrafik pr. offer, der stammer fra de hackede systemer.

Turla er navnet på denne hackergruppe, som er kendt for at arbejde under beskyttelse af den russiske regering. I denne uge offentliggjorde Kaspersky en rapport, hvori de udtalte, at ofre er inficeret af hackere gennem en trojan, der virker eksternt. Navnet på denne trojaner er 'Reductor'. Den samme teknik, som de bruger i disse to browsere.

Hele processen indeholder to store trin. For det første skal hackere installere deres egne digitale certifikater til hvert inficeret værtssystem. Herved får hackere TLS-trafikinformationen fra den formodede computer. For det andet gør hackere brug af PRNG-funktioner (pseudo-random number generation) for at ændre Chrome- og Firefox-browsere. Hvis du ikke kender PRNG, bruges den til at generere tilfældige tal og opsætte nye TLS-håndtryk til etablering af HTTPS-forbindelser.

Ved starten af ​​alle TLS-forbindelser gør Turla – Hacking-gruppen brug af disse PRNG-funktioner til at tilføje et fingeraftryk. Kaspersky-forskere har i deres rapport, som selv udkommer i dag, forklaret følgende struktur –

  • Den første fire-byte hash (cert_hash) er bygget ved hjælp af alle Reductors digitale certifikater. For hver af dem er hashens startværdi X509-versionsnummeret. Så er de sekventielt XORed med alle fire-byte værdier fra serienummeret. Alle de optalte hashes er XOR-ed med hinanden for at bygge den sidste. Operatørerne kender denne værdi for hvert offer, fordi den er bygget ved hjælp af deres digitale certifikater
  • Den anden fire-byte hash (hwid_hash) er baseret på målets hardwareegenskaber: SMBIOS dato og version, Video BIOS dato og version og harddisk volumen ID. Operatørerne kender denne værdi for hvert offer, fordi den bruges til C2-kommunikationsprotokollen.
  • De sidstnævnte tre felter krypteres ved hjælp af de første fire bytes – indledende PRN XOR-nøgle. Ved hver runde ændres XOR-tasten med MUL 0x48C27395 MOD 0x7FFFFFFF-algoritmen. Som et resultat forbliver bytes pseudo-tilfældige, men med den unikke vært, ID krypteret indeni.

Kaspersky har ikke forklaret årsagen bag Turlas hacking af webbrowsere. Det sikrer dog én ting, at alt dette ikke har gjort for at justere brugerens krypterede trafik. 'Reductor' giver komplet information om det målrettede system til hackere. Faktisk gør RAT (Reductor) også hackere i stand til at kende netværkstrafik i realtid. Uden nogen sikker dom kan det antages, at TLS-fingeraftrykket kan blive brugt som alternativ overvågning af hackerne.

Læs -Bedste hacking-apps til Android-telefoner

Ved hjælp af TLS-fingeraftrykket kan Turla-gruppehackere med succes kende den krypterede trafik på websteder, mens de opretter forbindelse til dem i realtid.

Alt i alt betragtes Turla som den mest fremtrædende hackergruppe på nuværende tidspunkt globalt. Den måde, de arbejder på, og de teknikker, de bruger, er langt bedre end andre, der udfører det samme arbejde. Til din information har Turla været kendt for at kapre og bruge telekommunikationssatellitter for at udsende malware over hele verden. Dette er heller ikke det første tilfælde, hvor Turla-gruppen angriber webbrowsere og trænger ind med malware på værtens systemer.

Denne gruppe har også installeret den bagdøre Firefox-tilføjelse i ofrenes browsere tilbage i 2015 for at se aktiviteterne, herunder trafikresultater på websteder, i realtid.

Denne gang patcher de to meget brugte browsere, Chrome og Firefox, for at spore HTTP-trafikken på offerets adresse. deres tidligere smarte hacks og teknikker. hjælper dem med at gøre det.