MOTIVUL pentru care hackerii din Rusia modifică instalările Chrome şi Firefox
Iniţiativa dezvoltatorilor Chrome şi Firefox pentru migrarea forţată a site-urilor la conexiuni HTTPS, securizând astfel internetul la nivel global, a pus în mare dificultate organizaţiile guvernamentale care au ca domeniu principal de activitate supravegherea în masă a populaţiei, scrie go4it.ro.
În timp ce guvernele altor ţări acţionează în direcţia furnizorilor de servicii pentru acces la internet, Rusia pare să fi ales soluţia mult mai puţin delicată a compromiterii browserelor web, folosind aplicaţii de tip troian special create pentru acest scop. În mod surprinzător, dintre toate companiile de securitate care ar fi putut să demaşte această campanie, Kaspersky este cea care publică detaliile "picante".
Cunoscută sub numele Turla, o grupare de hackeri ruşi a dezvoltat o aplicaţie troian care odată infiltrată pe PC-urile ţintă alterează instalările Chrome şi Firefox injectând certificate de securitate modificate, care permit interceptarea schimburilor de date făcute prin intermediul protocolului Transport Layer Security (TLS). Compromiterea securităţii dispozitivului implică şi modificarea generatorului de numere aleatorii, folosit pentru generarea cheilor de criptare în timpul negocierii conexiunilor TLS. Fără aceste elemente de securitate, schimburile de date făcute prin conexiuni aparent criptate pot fi amprentate pentru detectare şi interceptare pasivă, oriunde pe traseul infrastructurii de acces la internet.
Având în vedere faptul că simpla infectare a unui PC cu o aplicaţie de tip troian poate oferi acces direct la datele utilizatorilor, nu este clar de ce gruparea de hackeri a ales să modifice browserul web pentru a facilita analizarea traficului web interceptând conexiunea la internet. O posibilă explicaţie ar putea fi dorinţa de a continua activitatea de ascultare chiar dacă aplicaţia troian este detectată şi înlăturată folosind un program antivirus, cei mai mulţi utilizatori nebănuind că şi browserul web a fost compromis.
Mai plauzibil, aceasta este o campanie direcţionată în sensul compromiterii cât mai multor PC-uri şi expunerii traficului web la interceptare în masă, folosind noduri de acces la internet controlate de atacatori
. Grupul Turla este cunoscut deja pentru atacarea unor ţinte din Rusia şi Belarus, precum şi compromiterea unor furnizori de internet est-europeni, substituind fişiere aparent legitime oferite la download cu versiuni infectate.