Ρώσοι χάκερ τροποποιούν το Chrome και τον Firefox για να παρακολουθούν την επισκεψιμότητα στο Web TLS

Το hacking ανθίζει με την πρόοδο των τεχνολογιών. Στην ίδια γραμμή, μια ομάδα χάκερ από τη Ρωσία βρέθηκε να χακάρει τα τοπικά χρησιμοποιούμενα προγράμματα περιήγησης, Chrome και Firefox. Ο σκοπός των χάκερ είναι να τροποποιήσουν τη ρύθμιση HTTP των 2 προγραμμάτων περιήγησης. Αυτή η ομάδα χάκερ σκοπεύει να προσθέσει ένα δακτυλικό αποτύπωμα για κρυπτογραφημένη με TLS κίνηση ιστού ανά θύμα που προέρχεται από τα παραβιασμένα συστήματα.

Turla είναι το όνομα αυτής της ομάδας χάκερ που είναι γνωστή για την εργασία υπό την προστασία της ρωσικής κυβέρνησης. Αυτή την εβδομάδα, η Kaspersky δημοσίευσε μια αναφορά στην οποία ανέφερε ότι τα θύματα μολύνονται από χάκερ μέσω ενός trojan που λειτουργεί εξ αποστάσεως. Το όνομα αυτού του Trojan είναι 'Μειωτής'. Η ίδια τεχνική που χρησιμοποιούν σε αυτά τα δύο προγράμματα περιήγησης.

Η όλη διαδικασία περιλαμβάνει δύο βασικά βήματα. Πρώτον, οι χάκερ πρέπει να εγκαταστήσουν τα δικά τους ψηφιακά πιστοποιητικά σε κάθε μολυσμένο κεντρικό σύστημα. Με αυτό, οι χάκερ λαμβάνουν τις πληροφορίες κυκλοφορίας TLS από τον ύποπτο υπολογιστή. Δεύτερον, για να τροποποιήσουν τα προγράμματα περιήγησης Chrome και Firefox, οι χάκερ κάνουν χρήση συναρτήσεων δημιουργίας ψευδοτυχαίων αριθμών (PRNG). Εάν δεν γνωρίζετε το PRNG, χρησιμοποιείται για τη δημιουργία τυχαίων αριθμών και τη ρύθμιση νέων χειραψιών TLS για τη δημιουργία συνδέσεων HTTPS.

Στην αρχή όλων των συνδέσεων TLS, η Turla – Η ομάδα hacking χρησιμοποιεί αυτές τις λειτουργίες PRNG για την προσθήκη δακτυλικού αποτυπώματος. Οι ερευνητές της Kaspersky εξήγησαν στην έκθεσή τους που δημοσιεύεται σήμερα, την ακόλουθη δομή -

• Ο πρώτος κατακερματισμός τεσσάρων byte (cert_hash) δημιουργείται χρησιμοποιώντας όλα τα ψηφιακά πιστοποιητικά του Reductor. Για καθένα από αυτά, η αρχική τιμή του κατακερματισμού είναι ο αριθμός έκδοσης X509. Στη συνέχεια, γίνεται διαδοχική XOR με όλες τις τιμές τεσσάρων byte από τον σειριακό αριθμό. Όλα τα καταμετρημένα κατακερματισμένα είναι XOR μεταξύ τους για να δημιουργηθεί το τελικό. Οι χειριστές γνωρίζουν αυτήν την τιμή για κάθε θύμα, επειδή έχει δημιουργηθεί χρησιμοποιώντας τα ψηφιακά τους πιστοποιητικά
• Ο δεύτερος κατακερματισμός τεσσάρων byte (hwid_hash) βασίζεται στις ιδιότητες υλικού του στόχου: ημερομηνία και έκδοση SMBIOS, ημερομηνία και έκδοση BIOS βίντεο και αναγνωριστικό όγκου σκληρού δίσκου. Οι χειριστές γνωρίζουν αυτήν την τιμή για κάθε θύμα επειδή χρησιμοποιείται για το πρωτόκολλο επικοινωνίας C2.
• Τα τρία τελευταία πεδία κρυπτογραφούνται χρησιμοποιώντας τα πρώτα τέσσερα byte – αρχικό κλειδί PRN XOR. Σε κάθε γύρο, το κλειδί XOR αλλάζει με τον αλγόριθμο MUL 0x48C27395 MOD 0x7FFFFFFFF. Ως αποτέλεσμα, τα byte παραμένουν ψευδοτυχαία, αλλά με τον μοναδικό κεντρικό υπολογιστή, το αναγνωριστικό κρυπτογραφημένο μέσα.

Η Kaspersky δεν έχει εξηγήσει τον λόγο πίσω από την παραβίαση προγραμμάτων περιήγησης ιστού από την Turla. Ωστόσο, διασφαλίζει ότι ένα πράγμα, όλα αυτά δεν έχουν κάνει για την προσαρμογή της κρυπτογραφημένης κίνησης του χρήστη. Το «Reductor» δίνει πλήρεις πληροφορίες για το στοχευμένο σύστημα στους χάκερ. Στην πραγματικότητα, το RAT (Reductor) επιτρέπει επίσης στους χάκερ να γνωρίζουν την κυκλοφορία δικτύου σε πραγματικό χρόνο. Χωρίς καμία σίγουρη ετυμηγορία, μπορεί να υποτεθεί ότι το δακτυλικό αποτύπωμα TLS μπορεί να χρησιμοποιηθεί ως εναλλακτική επιτήρηση από τους χάκερ.

Ανάγνωση -Οι καλύτερες εφαρμογές hacking για τηλέφωνα Android

Με τη βοήθεια του δακτυλικού αποτυπώματος TLS, οι χάκερ της ομάδας Turla μπορούν να γνωρίζουν με επιτυχία την κρυπτογραφημένη επισκεψιμότητα των ιστότοπων ενώ συνδέονται με αυτούς σε πραγματικό χρόνο.

Συνολικά, η Turla θεωρείται ως η πιο σημαντική ομάδα hacking αυτή τη στιγμή παγκοσμίως. Ο τρόπος που δουλεύουν και οι τεχνικές που χρησιμοποιούν είναι πολύ καλύτερες από άλλους που κάνουν την ίδια δουλειά. Προς ενημέρωσή σας, η Turla ήταν γνωστή για την αεροπειρατεία και τη χρήση τηλεπικοινωνιακών δορυφόρων με σκοπό την εκπομπή κακόβουλου λογισμικού παγκοσμίως. Επίσης, αυτή δεν είναι η πρώτη περίπτωση που η ομάδα Turla επιτίθεται σε προγράμματα περιήγησης ιστού και εισβάλλει κακόβουλο λογισμικό στα συστήματα του κεντρικού υπολογιστή.

Αυτή η ομάδα έχει επίσης εγκαταστήσει το πρόσθετο με κερκόπορτα Firefox στα προγράμματα περιήγησης των θυμάτων το 2015 για την παρακολούθηση των δραστηριοτήτων, συμπεριλαμβανομένων των αποτελεσμάτων επισκεψιμότητας των ιστότοπων σε πραγματικό χρόνο.

Αυτή τη φορά και πάλι διορθώνουν τα δύο ευρέως χρησιμοποιούμενα προγράμματα περιήγησης, το Chrome και το Firefox, για να παρακολουθούν την κίνηση HTTP στη διεύθυνση του θύματος. τα περασμένα έξυπνα hacks και τεχνικές τους. τους βοηθούν να το κάνουν.