Есть доказательства, что русская хакерская группировка Turla отслеживает веб-трафик с TLS-шифрованием путем модификации Chrome и Firefox

По данным «Лаборатории Касперского», была выявлена российская группа хакеров под названием Turla, которая занимается отслеживанием веб-трафика с TLS-шифрованием. Для этого они модифицируют браузеры Chrome и Firefox. Группа сначала заражает системы трояном удаленного доступа и использует его для изменения браузеров, начиная с установки их собственных сертификатов (для перехвата трафика TLS от хоста) и затем исправляют генерацию псевдослучайных чисел, которая согласовывает соединения TLS. Это позволяет им добавлять отпечатки пальцев к каждому действию TLS и пассивно отслеживать зашифрованный трафик.

Chrome и Firefox

Несмотря на то, что специалистом удалось определить схему, по которой действуют злоумышленники, им не понятно для чего это делается. Если заразить систему трояном удаленного управления, то нужно исправлять браузер, чтобы шпионить за трафиком. ZDNet предположил, что это может быть отказоустойчивым методом, который позволяет злоумышленникам шпионить за трафиком пользователей, которые удаляют вирус, но не переустанавливают свои браузеры.

Считается, что группировка Turla работает под защитой российского правительства. По некоторым данным, она была создана для того, чтобы прошлом скомпрометировать восточноевропейских интернет-провайдеров и заражать «чистые загрузки». Это может быть попыткой выследить диссидентов или преследовать другие политические цели, используя метод, который трудно подорвать.

Загрузка...