Russische Hacker modifizieren Chrome und Firefox, um den TLS-Webverkehr zu verfolgen

Hacking floriert mit der Weiterentwicklung von Technologien. In derselben Zeile wurde eine Gruppe von Hackern aus Russland gefunden, die die lokal verwendeten Browser Chrome und Firefox hackten. Der Zweck der Hacker besteht darin, die HTTP-Einrichtung der beiden Browser zu ändern. Diese Gruppe von Hackern beabsichtigt, einen Fingerabdruck für TLS-verschlüsselten Webverkehr pro Opfer hinzuzufügen, der von den gehackten Systemen stammt.

Turla ist der Name dieser Hackergruppe, die dafür bekannt ist, unter dem Schutz der russischen Regierung zu arbeiten. Diese Woche veröffentlichte Kaspersky einen Bericht, in dem sie erklärten, dass Opfer von Hackern über einen Trojaner infiziert werden, der remote funktioniert. Der Name dieses Trojaners lautet „Reductor“. Dieselbe Technik, die sie in diesen beiden Browsern verwenden.

Der gesamte Prozess besteht aus zwei Hauptschritten. Erstens müssen Hacker ihre eigenen digitalen Zertifikate auf jedem infizierten Hostsystem installieren. Auf diese Weise erhalten Hacker die TLS-Verkehrsinformationen des verdächtigten Computers. Zweitens verwenden Hacker Funktionen zur Generierung von Pseudozufallszahlen (PRNG), um die Browser Chrome und Firefox zu modifizieren. Wenn Sie PRNG nicht kennen, wird es zum Generieren von Zufallszahlen und zum Einrichten neuer TLS-Handshakes zum Herstellen von HTTPS-Verbindungen verwendet.

Zu Beginn aller TLS-Verbindungen nutzt Turla – The Hacking Group diese PRNG-Funktion zum Hinzufügen eines Fingerabdrucks. Kaspersky-Forscher haben in ihrem heute veröffentlichten Bericht selbst die folgende Struktur erklärt –

• Der erste Vier-Byte-Hash (cert_hash) wird unter Verwendung aller digitalen Zertifikate des Reductors erstellt. Für jeden von ihnen ist der Anfangswert des Hashs die X509-Versionsnummer. Dann werden sie nacheinander mit allen Vier-Byte-Werten aus der Seriennummer XOR-verknüpft. Alle gezählten Hashes werden miteinander XOR-verknüpft, um den endgültigen zu erstellen. Die Betreiber kennen diesen Wert für jedes Opfer, da er mit ihren digitalen Zertifikaten erstellt wird
• Der zweite Vier-Byte-Hash (hwid_hash) basiert auf den Hardwareeigenschaften des Ziels: SMBIOS-Datum und -Version, Video-BIOS-Datum und -Version und Festplatten-Volume-ID. Die Betreiber kennen diesen Wert für jedes Opfer, da er für das C2-Kommunikationsprotokoll verwendet wird.
• Die letzten drei Felder werden mit den ersten vier Bytes verschlüsselt – dem anfänglichen PRN-XOR-Schlüssel. Bei jeder Runde ändert sich der XOR-Schlüssel mit dem Algorithmus MUL 0x48C27395 MOD 0x7FFFFFFF. Infolgedessen bleiben die Bytes pseudozufällig, aber mit der eindeutigen Host-ID, die darin verschlüsselt ist.

Kaspersky hat den Grund für das Hacken von Webbrowsern durch Turla nicht erklärt. Es stellt jedoch sicher, dass all dies nicht dazu beigetragen hat, den verschlüsselten Datenverkehr des Benutzers zu optimieren. Der „Reductor“ gibt Hackern vollständige Informationen über das Zielsystem. Tatsächlich ermöglicht RAT (Reductor) Hackern auch, den Netzwerkverkehr in Echtzeit zu erkennen. Ohne sicheres Urteil kann davon ausgegangen werden, dass der TLS-Fingerabdruck von den Hackern als alternative Überwachung verwendet werden könnte.

Lesen -Die besten Hacking-Apps für Android-Telefone

Mit Hilfe des TLS-Fingerabdrucks können Hacker der Turla-Gruppe erfolgreich den verschlüsselten Datenverkehr von Websites erkennen, während sie sich in Echtzeit mit ihnen verbinden.

Insgesamt gilt Turla derzeit weltweit als die prominenteste Hacking-Gruppe. Die Art und Weise, wie sie arbeiten, und die von ihnen verwendeten Techniken sind weitaus besser als andere, die die gleiche Arbeit machen. Zu Ihrer Information: Turla ist dafür bekannt, Telekommunikationssatelliten zu entführen und zu nutzen, um weltweit Malware auszusenden. Außerdem ist dies nicht der erste Fall, in dem die Turla-Gruppe Webbrowser angreift und Malware in die Systeme des Hosts eindringt.

Diese Gruppe hat bereits 2015 das Firefox-Add-on mit Backdoors in den Browsern der Opfer installiert, um die Aktivitäten, einschließlich der Verkehrsergebnisse von Websites, in Echtzeit zu beobachten.

Auch dieses Mal patchen sie die beiden weit verbreiteten Browser Chrome und Firefox, um den HTTP-Verkehr an der Adresse des Opfers zu verfolgen. ihre vergangenen cleveren Hacks und Techniken. helfen ihnen dabei.