Immagine: Punto Di Controllo // Composizione: ZDNet
Un russo di cyber-spionaggio gruppo di hacker è stato avvistato utilizzando una nuova tecnica che prevede l’applicazione di patch installata localmente browser come Chrome e Firefox per modificare i browser, i componenti interni.
L’obiettivo finale di queste modifiche è quello di alterare il modo in cui i due browser impostare le connessioni HTTPS, e aggiungere per ogni vittima di impronte digitali per il TLS-web criptato il traffico che proviene da computer infetti.
Attacco colpa Turla
Questo tipo di romanzo che l’attacco è stato attribuito a Turla, un noto gruppo di hacker ritiene che operano sotto la protezione del governo russo.
Secondo Kaspersky rapporto pubblicato questa settimana, gli hacker sono di infettare le vittime con un remote access trojan denominato Riduttore, attraverso la quale si stanno modificando i due browser.
Questo processo prevede due passaggi. Prima di installare i propri certificati digitali per ogni ospite infetto. Questo permetterebbe agli hacker di intercettare qualsiasi TLS traffico provenienti da host.
In secondo luogo, modificare il Chrome e Firefox di installazione di patch di loro pseudo-generazione di numeri casuali (PRNG) funzioni. Queste funzioni vengono utilizzate quando la generazione di numeri casuali necessari per il processo di negoziazione e la creazione di nuove TLS handshake per le connessioni HTTPS.
Turla gli hacker utilizzano questi contaminato PRNG funzioni per aggiungere una piccola impronta all’inizio di ogni nuova connessione TLS. La struttura di questo impronte digitali va come segue, come spiegato dai ricercatori di Kaspersky in un rapporto pubblicato oggi:
I primi quattro byte hash (cert_hash) è costruito utilizzando tutti del Riduttore dell’certificati digitali. Per ciascuno di essi, l’hash del valore iniziale è X509 numero di versione. Quindi sono in sequenza Xor con tutti e quattro i valori di byte da il numero di serie. Tutti i contati hash sono XORING con l’altro per costruire quella finale. Gli operatori sanno di questo valore per ogni vittima, perché è costruito utilizzando i loro certificati digitali.Il secondo di quattro byte hash (hwid_hash) si basa sul target proprietà hardware: SMBIOS data e la versione del BIOS Video data e la versione del disco fisso e volume ID. Gli operatori sanno di questo valore per ogni vittima perché è usato per la C2 protocollo di comunicazione.Gli ultimi tre campi sono criptati utilizzando i primi quattro byte iniziale, il PRN chiave XOR. A ogni turno, la chiave XOR modifiche con il MUL 0x48C27395 MOD 0x7FFFFFFF algoritmo. Come risultato, i byte rimangono pseudo-casuali, ma con l’unico host ID crittografato all’interno.
Post-rimozione del meccanismo di monitoraggio?
Kaspersky non hanno una spiegazione del perché Turla gli hacker stavano facendo questo. Qualunque cosa fosse, non fosse stato per la rottura di un utente del traffico crittografato.
Il Riduttore di RATTO che era presente sui dispositivi degli utenti avrebbe permesso agli hacker il pieno controllo di una vittima dispositivo già, tra cui la possibilità di guardare una vittima del traffico di rete in tempo reale.
Tuttavia, una possibile spiegazione è che gli hacker sono utilizzando l’impronta digitale TLS secondaria meccanismo di sorveglianza, nel caso le vittime trovato e rimosso il Riduttore di troia, ma non reinstallare il browser.
Con il TLS delle impronte digitali nel luogo, il Turla gruppo sarebbe in grado di individuare la vittima del traffico crittografato stream mentre è collegato a diversi siti web in tutto il web.
Questa “teoria” che ZDNet sentito da alcuni ricercatori di sicurezza sarebbe anche significa che Turla sarebbe in grado di osservare passivamente il traffico HTTPS attraverso il web. Per coincidenza, questo è confermato dal report di Kaspersky.
Kaspersky hanno detto i ricercatori hanno monitorato le iniziali Riduttore infezioni trojan per il download di software vittime fatte da siti legittimi o “warez” siti.
I ricercatori hanno detto che tali siti web mai ospitato Riduttore di file infetti, quindi l’unico modo Turla hacker modificato i file mentre erano in transito attraverso la rete internet.
Perché il download ha avuto luogo anche via HTTP, sostituendo i file legittimi con la contaminato quelli sarebbe stata in realtà piuttosto un compito banale, Kaspersky ha detto.
Tuttavia, questo significherebbe che Turla gli hacker avevano il controllo o ha compromesso un provider di servizi internet, al fine di analizzare tutto il traffico e sostituire il file legittimi contaminato con quelli.
Ma questo non è un tratto per gli hacker russi, e sono stati visti fare lo stesso prima. A gennaio 2018 relazione compagni di cyber-ditta di sicurezza ESET ha rivelato che Turla aveva compromesso almeno quattro Isp prima, in Europa Orientale e dell’ex spazio Sovietico, anche con lo scopo di snaturare il download e l’aggiunta di malware file legittimi.
È possibile che quelli ISP compromessi successo di nuovo, ma questa volta, invece di Zanzara trojan, hanno distribuito Riduttore.
Normali procedure di Turla
Tutto in tutti, Turla è stato uno dei più sofisticati gruppi di hacker, con un ampio margine. I trucchi e le tecniche che il gruppo usa sono anni avanti rispetto a tutti gli altri.
Il gruppo è noto per dirottare e utilizzare i satelliti per telecomunicazioni per distribuire malware in aree remote del globo, ha sviluppato malware che ha nascosto il suo meccanismo di controllo all’interno dei commenti postati su Britney Spears Instagram le foto, ha sviluppato server di posta elettronica backdoor che comandi ricevuti via spam-alla ricerca di messaggi, e ha violato altri paesi cyber-spionaggio gruppi di hacker.
Anche questo non è la prima volta che Turla altera un componente browser per distribuire malware su host infetti. Il gruppo ha già installato un backdoored Firefox add-on da parte delle vittime browser indietro nel 2015 [1, 2], che è utilizzato per mantenere un occhio sul traffico web.
Patch Chrome e Firefox, solo per essere in grado di tenere traccia di una vittima del traffico HTTPS, mentre sono stati dato il via a un postazioni di lavoro si adatta con il loro precedente modello di altamente intelligente hack e tecniche.
Sicurezza
Linux per ottenere kernel ‘lockdown’ caratteristica
Google di guerra di deepfakes: Come elezione telai, condivide tonnellata di AI-finto video
La maggior parte malspam contiene un URL maligno in questi giorni, non di file allegati
Ransomware: Perché pagare il riscatto è una cattiva idea per tutti nel lungo periodo (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Maggior parte delle aziende Fortune 500 ancora opachi sulle misure di sicurezza (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati