Hackers rusos modifican Chrome y Firefox para rastrear el tráfico web TLS

La piratería está floreciendo con el avance de las tecnologías. En la misma línea, se ha encontrado a un grupo de piratas informáticos de Rusia pirateando los navegadores de uso local, Chrome y Firefox. El propósito de los piratas informáticos es modificar la configuración HTTP de los 2 navegadores. Este grupo de piratas informáticos intenta agregar una huella digital para el tráfico web cifrado con TLS por víctima que proviene de los sistemas pirateados.

Turla es el nombre de este grupo de hackers conocido por trabajar bajo la protección del gobierno ruso. Esta semana, Kaspersky publicó un informe en el que afirma que las víctimas son infectadas por piratas informáticos a través de un troyano que funciona de forma remota. El nombre de este troyano es 'Reductor'. La misma técnica que están utilizando en estos dos navegadores.

Todo el proceso contiene dos pasos principales. En primer lugar, los piratas informáticos deben instalar sus propios certificados digitales en cada sistema host infectado. De esta manera, los piratas informáticos obtienen la información de tráfico TLS de la computadora sospechosa. En segundo lugar, para modificar los navegadores Chrome y Firefox, los piratas informáticos utilizan funciones de generación de números pseudoaleatorios (PRNG). Si no conoce PRNG, se usa para generar números aleatorios y configurar nuevos protocolos de enlace TLS para establecer conexiones HTTPS.

Al comienzo de todas las conexiones TLS, Turla: el grupo de piratería utiliza esta función PRNG para agregar una huella digital. Los investigadores de Kaspersky han explicado en su informe que se publica hoy mismo, la siguiente estructura:

• El primer hash de cuatro bytes (cert_hash) se crea utilizando todos los certificados digitales de Reductor. Para cada uno de ellos, el valor inicial del hash es el número de versión X509. Luego se someten a XOR secuencialmente con todos los valores de cuatro bytes del número de serie. Todos los hashes contados se someten a XOR entre sí para construir el final. Los operadores conocen este valor para cada víctima porque se construye utilizando sus certificados digitales.
• El segundo hash de cuatro bytes (hwid_hash) se basa en las propiedades de hardware del objetivo: fecha y versión de SMBIOS, fecha y versión de Video BIOS e ID de volumen de disco duro. Los operadores conocen este valor para cada víctima porque se usa para el protocolo de comunicación C2.
• Los últimos tres campos se cifran utilizando los primeros cuatro bytes: clave PRN XOR inicial. En cada ronda, la tecla XOR cambia con el algoritmo MUL 0x48C27395 MOD 0x7FFFFFFF. Como resultado, los bytes siguen siendo pseudoaleatorios, pero con el ID de host único cifrado en su interior.

Kaspersky no ha explicado la razón detrás de la piratería de los navegadores web por parte de Turla. Sin embargo, se asegura de una cosa, todo esto no ha hecho por modificar el tráfico cifrado del usuario. El 'Reductor' brinda información completa sobre el sistema objetivo a los piratas informáticos. De hecho, RAT (Reductor) también permite a los piratas informáticos conocer el tráfico de la red en tiempo real. Sin ningún veredicto seguro, se puede suponer que los piratas informáticos podrían utilizar la huella digital TLS como vigilancia alternativa.

Leer -Las mejores aplicaciones de piratería para teléfonos Android

Con la ayuda de la huella digital TLS, los piratas informáticos del grupo Turla pueden conocer con éxito el tráfico cifrado de los sitios web mientras se conectan a ellos en tiempo real.

En conjunto, Turla es considerado como el grupo de piratería más destacado en la actualidad a nivel mundial. La forma en que trabajan y las técnicas que utilizan son mucho mejores que las de otros que hacen el mismo trabajo. Para su información, Turla es conocida por secuestrar y utilizar satélites de telecomunicaciones para emitir malware en todo el mundo. Además, esta no es la primera instancia en la que el grupo Turla ataca a los navegadores web e introduce malware en los sistemas del host.

Este grupo también instaló el complemento Firefox con puerta trasera en los navegadores de las víctimas en 2015 para observar las actividades, incluidos los resultados del tráfico de los sitios web en tiempo real.

Esta vez, nuevamente, están parcheando los dos navegadores ampliamente utilizados, Chrome y Firefox, para rastrear el tráfico HTTP en la dirección de la víctima. sus ingeniosos trucos y técnicas del pasado. los están ayudando a hacerlo.