القراصنة الروس يعدلون كروم وفايرفوكس لتتبع حركة مرور الويب TLS

تزدهر القرصنة مع تقدم التقنيات. على نفس المنوال ، تم العثور على مجموعة من المتسللين من روسيا يخترقون المتصفحات المستخدمة محليًا ، Chrome و Firefox. الغرض من المتسللين هو تعديل إعداد HTTP للمتصفحين. تنوي هذه المجموعة من المتسللين إضافة بصمة لحركة مرور الويب المشفرة بواسطة TLS لكل ضحية من هذا المصدر من الأنظمة المخترقة.

تورلا هو اسم مجموعة القرصنة هذه المعروفة بالعمل تحت حماية الحكومة الروسية. هذا الأسبوع ، نشرت Kaspersky تقريرًا أفادوا فيه أن الضحايا أصيبوا بواسطة قراصنة عبر حصان طروادة يعمل عن بعد. اسم هذا حصان طروادة ، 'Reductor'. نفس الأسلوب الذي يستخدمونه في هذين المستعرضين.

تحتوي العملية برمتها على خطوتين رئيسيتين. أولاً ، يجب على المتسللين تثبيت شهاداتهم الرقمية الخاصة لكل نظام مضيف مصاب. من خلال هذا ، يحصل المتسللون على معلومات حركة مرور TLS من جهاز الكمبيوتر المشتبه به. ثانيًا ، من أجل تعديل متصفحي Chrome و Firefox ، يستخدم المتسللون وظائف توليد الأرقام العشوائية الزائفة (PRNG). إذا كنت لا تعرف PRNG ، يتم استخدامه لإنشاء أرقام عشوائية وإعداد مصافحة TLS جديدة لإنشاء اتصالات HTTPS.

في بداية جميع اتصالات TLS ، تستفيد Turla - مجموعة القرصنة هذه من وظيفة PRNG لإضافة بصمة إصبع. أوضح باحثو Kaspersky في تقريرهم الذي تم إصداره اليوم ، الهيكل التالي -

• تم إنشاء أول تجزئة بأربعة بايت (cert_hash) باستخدام جميع الشهادات الرقمية الخاصة بـ Reductor. لكل منها ، القيمة الأولية للتجزئة هي رقم إصدار X509. ثم يتم XORed بالتسلسل مع جميع القيم المكونة من أربعة بايت من الرقم التسلسلي. جميع التجزئات التي تم حسابها هي XOR-ed مع بعضها البعض لبناء آخر تجزئة. يعرف المشغلون هذه القيمة لكل ضحية لأنها بنيت باستخدام شهاداتهم الرقمية
• تعتمد التجزئة الثانية رباعية البايت (hwid_hash) على خصائص أجهزة الهدف: تاريخ وإصدار SMBIOS وتاريخ وإصدار BIOS للفيديو ومعرف وحدة تخزين محرك الأقراص الثابتة. يعرف المشغلون هذه القيمة لكل ضحية لأنها مستخدمة لبروتوكول الاتصال C2.
• يتم تشفير الحقول الثلاثة الأخيرة باستخدام أول أربع بايتات - مفتاح PRN XOR الأولي. في كل جولة ، يتغير مفتاح XOR باستخدام خوارزمية MUL 0x48C27395 MOD 0x7FFFFFFF. نتيجة لذلك ، تظل البايتات شبه عشوائية ، ولكن مع المضيف الفريد ، يتم تشفير المعرف بالداخل.

لم يشرح Kaspersky السبب وراء اختراق تورلا لمتصفحات الويب. ومع ذلك ، فإنه يضمن شيئًا واحدًا ، وهو أن كل هذا لم يتم فعله لتعديل حركة المرور المشفرة للمستخدم. يقدم 'Reductor' معلومات كاملة عن النظام المستهدف للقراصنة. في الواقع ، يمكّن RAT (Reductor) أيضًا المتسللين من معرفة حركة مرور الشبكة في الوقت الفعلي. بدون أي حكم مؤكد ، يمكن افتراض أن بصمة TLS قد تستخدم كمراقبة بديلة من قبل المتسللين.

بمساعدة بصمة TLS ، يمكن لقراصنة مجموعة Turla معرفة حركة المرور المشفرة لمواقع الويب بنجاح أثناء الاتصال بها في الوقت الفعلي.

إجمالاً ، تعتبر تورلا من أبرز مجموعات القرصنة على مستوى العالم في الوقت الحاضر. الطريقة التي يعملون بها والتقنيات المستخدمة من قبلهم أفضل بكثير من الآخرين الذين يقومون بنفس الوظيفة. لمعلوماتك ، تشتهر Turla باختطاف واستخدام أقمار الاتصالات السلكية واللاسلكية من أجل بث برامج ضارة في جميع أنحاء العالم. أيضًا ، ليست هذه هي المرة الأولى التي تهاجم فيها مجموعة Turla متصفحات الويب وتتطفل على البرامج الضارة على أنظمة المضيف.

قامت هذه المجموعة أيضًا بتثبيت الوظيفة الإضافية لفايرفوكس ذات الباب الخلفي في متصفحات الضحايا في عام 2015 لمشاهدة الأنشطة بما في ذلك نتائج حركة المرور لمواقع الويب في الوقت الفعلي.

هذه المرة مرة أخرى يقومون بتصحيح المتصفحين المستخدمين على نطاق واسع ، Chrome و Firefox ، لتتبع حركة مرور HTTP على عنوان الضحية. حيلهم وتقنياتهم الذكية السابقة. تساعدهم في القيام بذلك.