HTCinside


Ruski hakeri modificirali Chrome i Firefox za praćenje TLS web prometa

Hakiranje cvjeta s napretkom tehnologije. U istom redu, grupa hakera iz Rusije je pronađena kako hakiraju lokalno korištene preglednike, Chrome i Firefox. Svrha hakera je izmijeniti HTTP postavke 2 preglednika. Ova skupina hakera namjerava dodati otisak prsta za TLS-kriptiran web promet po žrtvi koja potječe iz hakiranih sustava.

Turla je ime ove hakerske skupine koja je poznata po tome što radi pod zaštitom ruske vlade. Ovog tjedna Kaspersky je objavio izvješće u kojem navodi da su žrtve zaražene od strane hakera putem trojanaca koji radi na daljinu. Ime ovog trojanca je 'Reduktor'. Ista tehnika koju koriste u ova dva preglednika.

Cijeli proces sastoji se od dva glavna koraka. Prvo, hakeri moraju instalirati vlastite digitalne certifikate na svaki zaraženi host sustav. Time hakeri dobivaju TLS informacije o prometu sa sumnjivog računala. Drugo, kako bi modificirali preglednike Chrome i Firefox, hakeri koriste funkcije generiranja pseudo-nasumičnog broja (PRNG). Ako ne poznajete PRNG, koristi se za generiranje nasumičnih brojeva i postavljanje novih TLS rukovanja za uspostavljanje HTTPS veza.

Na početku svih TLS veza, Turla – hakerska skupina koristi ovu PRNG funkciju za dodavanje otiska prsta. Istraživači tvrtke Kaspersky objasnili su u svom izvješću koje je objavljeno danas, sljedeću strukturu –

  • Prvi četverobajtni hash (cert_hash) izgrađen je korištenjem svih Reductorovih digitalnih certifikata. Za svaki od njih, početna vrijednost hasha je broj verzije X509. Zatim se sekvencijalno izmjenjuju XOR sa svim četverobajtnim vrijednostima iz serijskog broja. Svi izbrojani hashovi međusobno se izmjenjuju XOR-om kako bi se napravio konačni. Operateri znaju ovu vrijednost za svaku žrtvu jer je izgrađena pomoću njihovih digitalnih certifikata
  • Drugi četverobajtni hash (hwid_hash) temelji se na svojstvima ciljnog hardvera: datum i verzija SMBIOS-a, video BIOS datum i verzija i ID volumena tvrdog diska. Operateri znaju ovu vrijednost za svaku žrtvu jer se koristi za C2 komunikacijski protokol.
  • Posljednja tri polja su šifrirana pomoću prva četiri bajta – početni PRN XOR ključ. U svakoj rundi, XOR ključ se mijenja s algoritmom MUL 0x48C27395 MOD 0x7FFFFFFF. Kao rezultat toga, bajtovi ostaju pseudo-slučajni, ali s jedinstvenim hostom, ID šifriran unutra.

Kaspersky nije objasnio razlog koji stoji iza hakiranja web preglednika od strane Turle. Međutim, osigurava jednu stvar da sve ovo nije učinilo za podešavanje šifriranog prometa korisnika. 'Reduktor' hakerima daje potpune informacije o ciljanom sustavu. Zapravo, RAT (Reductor) također omogućuje hakerima da znaju mrežni promet u stvarnom vremenu. Bez ikakve sigurne presude, može se pretpostaviti da bi hakeri mogli koristiti TLS otisak prsta kao alternativni nadzor.

Čitati -Najbolje hakerske aplikacije za Android telefone

Uz pomoć TLS otiska prsta, hakeri grupe Turla mogu uspješno znati šifrirani promet web stranica dok se na njih povezuju u stvarnom vremenu.

Sve u svemu, Turla se trenutno smatra najistaknutijom hakerskom skupinom na globalnoj razini. Način na koji rade i tehnike koje koriste daleko su bolji od drugih koji rade isti posao. Za vašu informaciju, Turla je poznat po otmici i korištenju telekomunikacijskih satelita za emitiranje zlonamjernog softvera diljem svijeta. Također, ovo nije prvi slučaj Turla grupe koja napada web preglednike i upada zlonamjerni softver u sustave domaćina.

Ova je grupa također instalirala backdoored Firefox dodatak u preglednike žrtava još 2015. za praćenje aktivnosti uključujući rezultate prometa web stranica u stvarnom vremenu.

Ovaj put ponovno krpaju dva široko korištena preglednika, Chrome i Firefox, kako bi pratili HTTP promet na adresi žrtve. njihove prošle pametne hakove i tehnike. im u tome pomažu.