Российские хакеры модифицировали Chrome и Firefox для отслеживания шифрованного трафика
Многие хакеры не берутся вскрывать браузеры за пределами эксплуатации их уязвимостей, однако одна группа взломщиков пошла на этот смелый шаг. Специалисты Kaspersky опубликовали детальный отчет, посвященный попыткам российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox.
Процесс требует заразить машину цели вирусом-трояном с удаленным доступом, после чего тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. После этого они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Таким образом злоумышленники могут добавлять "отпечаток" к каждому TLS-действию и пассивно отслеживать шифрованный трафик.
Зачем злоумышленникам проделывать столь сложный процесс, если они и так могут заразить машину трояном, не совсем ясно — с удаленным доступом и без вмешательства в браузер можно следить за трафиком. ZDNet отмечает, что это может быть "черный ход" на случай обнаружения трояна.
Иллюстрация в шапке: Rico Suyang WANG
- Европейские следователи говорят, что экипаж китайского судна умышленно повредил подводные кабели в Балтийском море
- Депутат Госдумы Хинштейн назвал снижение скорости YouTube вынужденным шагом
- YouTube в России начнет работать хуже из-за деградации оборудования Google