HTCinside


แฮกเกอร์ชาวรัสเซียปรับเปลี่ยน Chrome & Firefox เพื่อติดตาม TLS Web Traffic

การแฮ็กกำลังเฟื่องฟูด้วยความก้าวหน้าของเทคโนโลยี ในแนวเดียวกันนี้ พบว่ากลุ่มแฮ็กเกอร์จากรัสเซียกำลังแฮ็คเบราว์เซอร์ที่ใช้ในพื้นที่ ได้แก่ Chrome และ Firefox จุดประสงค์ของแฮกเกอร์คือเพื่อแก้ไขการตั้งค่า HTTP ของเบราว์เซอร์ 2 ตัว แฮกเกอร์กลุ่มนี้ตั้งใจที่จะเพิ่มลายนิ้วมือสำหรับการเข้าชมเว็บที่เข้ารหัส TLS ต่อเหยื่อที่มาจากระบบที่ถูกแฮ็ก

Turla เป็นชื่อของกลุ่มแฮ็คกลุ่มนี้ซึ่งเป็นที่รู้จักกันดีสำหรับการทำงานภายใต้การคุ้มครองของรัฐบาลรัสเซีย สัปดาห์นี้ Kaspersky ได้เผยแพร่รายงานที่พวกเขาระบุว่าเหยื่อติดไวรัสโดยแฮกเกอร์ผ่านโทรจันที่ทำงานจากระยะไกล ชื่อของโทรจันนี้คือ 'Reductor' เทคนิคเดียวกับที่ใช้ในเบราว์เซอร์ทั้งสองนี้

กระบวนการทั้งหมดประกอบด้วยสองขั้นตอนหลัก ประการแรก แฮกเกอร์ต้องติดตั้งใบรับรองดิจิทัลของตนเองในทุกระบบโฮสต์ที่ติดไวรัส ด้วยเหตุนี้ แฮกเกอร์จึงได้รับข้อมูลการรับส่งข้อมูล TLS จากคอมพิวเตอร์ต้องสงสัย ประการที่สอง เพื่อแก้ไขเบราว์เซอร์ Chrome และ Firefox แฮกเกอร์ใช้ฟังก์ชันการสร้างตัวเลขสุ่มหลอก (PRNG) หากคุณไม่รู้จัก PRNG จะใช้สำหรับสร้างตัวเลขสุ่มและตั้งค่า TLS handshakes ใหม่สำหรับสร้างการเชื่อมต่อ HTTPS

ในช่วงเริ่มต้นของการเชื่อมต่อ TLS ทั้งหมด Turla – กลุ่มแฮ็คใช้ฟังก์ชัน PRNG เหล่านี้เพื่อเพิ่มลายนิ้วมือ นักวิจัยของ Kaspersky ได้อธิบายไว้ในรายงานของพวกเขาซึ่งเผยแพร่ในวันนี้ด้วยโครงสร้างดังต่อไปนี้ -

  • แฮชสี่ไบต์แรก (cert_hash) สร้างขึ้นโดยใช้ใบรับรองดิจิทัลของ Reductor ทั้งหมด สำหรับแต่ละรายการ ค่าเริ่มต้นของแฮชคือหมายเลขเวอร์ชัน X509 จากนั้นจะถูก XOR ตามลำดับโดยมีค่าสี่ไบต์ทั้งหมดจากหมายเลขซีเรียล แฮชที่นับทั้งหมดเป็น XOR-ed ซึ่งกันและกันเพื่อสร้างอันสุดท้าย ผู้ปฏิบัติงานทราบถึงคุณค่านี้สำหรับเหยื่อทุกราย เพราะมันสร้างขึ้นโดยใช้ใบรับรองดิจิทัลของพวกเขา
  • แฮชสี่ไบต์ที่สอง (hwid_hash) อิงตามคุณสมบัติของฮาร์ดแวร์ของเป้าหมาย: วันที่และเวอร์ชันของ SMBIOS, วันที่และเวอร์ชันของวิดีโอ BIOS และ ID โวลุ่มฮาร์ดไดรฟ์ ผู้ปฏิบัติงานทราบถึงคุณค่านี้สำหรับเหยื่อทุกรายเพราะใช้สำหรับโปรโตคอลการสื่อสาร C2
  • สามฟิลด์หลังถูกเข้ารหัสโดยใช้สี่ไบต์แรก – คีย์ PRN XOR เริ่มต้น ในทุกรอบ คีย์ XOR จะเปลี่ยนด้วยอัลกอริทึม MUL 0x48C27395 MOD 0x7FFFFFFF เป็นผลให้ไบต์ยังคงสุ่มหลอก แต่ด้วยโฮสต์ที่ไม่ซ้ำกัน ID ที่เข้ารหัสภายใน

Kaspersky ไม่ได้อธิบายเหตุผลเบื้องหลังการแฮ็กเว็บเบราว์เซอร์โดย Turla อย่างไรก็ตาม มันทำให้แน่ใจได้ว่ามีสิ่งหนึ่งที่ ทั้งหมดนี้ไม่ได้ทำเพื่อปรับแต่งการรับส่งข้อมูลที่เข้ารหัสของผู้ใช้ 'Reductor' ให้ข้อมูลที่สมบูรณ์เกี่ยวกับระบบเป้าหมายแก่แฮกเกอร์ อันที่จริง RAT (Reductor) ยังช่วยให้แฮกเกอร์ทราบปริมาณการใช้เครือข่ายแบบเรียลไทม์ หากไม่มีคำตัดสินที่แน่ชัด ก็สามารถสันนิษฐานได้ว่าลายนิ้วมือ TLS อาจถูกใช้เป็นการเฝ้าระวังทางเลือกโดยแฮกเกอร์



อ่าน -แอพแฮ็คที่ดีที่สุดสำหรับโทรศัพท์ Android

ด้วยความช่วยเหลือของลายนิ้วมือ TLS แฮ็กเกอร์กลุ่ม Turla สามารถทราบปริมาณการใช้งานที่เข้ารหัสของเว็บไซต์ได้สำเร็จในขณะที่เชื่อมต่อกับพวกเขาในแบบเรียลไทม์

โดยรวมแล้ว Turla ถือเป็นกลุ่มแฮ็คที่โดดเด่นที่สุดในปัจจุบันทั่วโลก วิธีทำงานและเทคนิคที่พวกเขาใช้นั้นดีกว่าคนอื่นที่ทำงานเดียวกัน สำหรับข้อมูลของคุณ Turla เป็นที่รู้จักจากการจี้และใช้ดาวเทียมโทรคมนาคมเพื่อปล่อยมัลแวร์ทั่วโลก นอกจากนี้ นี่ไม่ใช่ตัวอย่างแรกของกลุ่ม Turla ที่โจมตีเว็บเบราว์เซอร์และบุกรุกมัลแวร์ในระบบของโฮสต์

กลุ่มนี้ยังได้ติดตั้งส่วนเสริม Firefox ลับๆ ในเบราว์เซอร์ของเหยื่อเมื่อปี 2558 เพื่อดูกิจกรรมต่างๆ รวมถึงผลการรับส่งข้อมูลของเว็บไซต์แบบเรียลไทม์

คราวนี้พวกเขากำลังแก้ไขเบราว์เซอร์ที่ใช้กันอย่างแพร่หลายทั้งสอง Chrome และ Firefox เพื่อติดตามการรับส่งข้อมูล HTTP บนที่อยู่ของเหยื่อ แฮ็กและเทคนิคที่ชาญฉลาดในอดีตของพวกเขา กำลังช่วยพวกเขาในการทำเช่นนั้น