روش نوآورانه هکرهای روس برای شنود ترافیک رمزنگاری شده در فایرفاکس و کروم

یک گروه هکر جاسوس از روسیه به روشی دست پیدا کرده اند که امکان پایش ترافیک رمزنگاری شده مرورگرهای کروم و فایرفاکس را فراهم می کند.

بنا بر گزارش ها در این روش به طور محلی روی مرورگرها وصله ای نصب شده تا تنظیمات ماژول های داخلی مرورگرها دستکاری شود. هدف از اعمال تغییرات این بوده که نحوه تنظیم ارتباطات HTTPS مرورگرها تغییر داده شود و یک شماره شناسایی ویژه هر کاربر برای ترافیک رمز نگاری شده توسط TLS (پروتکل امنیتی لایه انتقال) در کامپیوترهای آلوده تولید شود. به این ترتیب هکرها می توانند تمامی ترافیک رمز نگاری شده کاربر را شنود کنند.

این روش نوآورانه حمله به گروه هکری «Turla» نسبت داده شده؛ گروهی که گفته می شود زیر نظر دولت روسیه فعالیت می کنند و روش های آنها به مراتب پیشرفته تر از گروه های هکری دیگر در جهان است. به گفته شرکت امنیتی کسپرسکی هکرها، قربانیان را از طریق دسترسی از راه دور توسط بدافزاری به نام «ریداکتور» آلوده کرده اند تا تنظیمات مرورگر آنها را تغییر دهند. فرایند مورد استفاده آنها شامل دو مرحله بوده است.

در ابتدا یک گواهینامه دیجیتال هکرها روی دستگاه قربانی نصب می شده تا امکان شنود هر ترافیک TLS آغاز شده از سوی قربانی فراهم شود. در مرحله دوم فرایند نصب کروم و فایرفاکس دستکاری می شده تا وصله ای برای تولید یک شماره شبه تصادفی (PRNG) نصب شود. هر فرایند دست دهی TLS روی ارتباطات HTTPS و به منظور برقراری ارتباط جدید، نیاز به یک شماره پردازش تصادفی دارد. PRNG قابلیتی است که امکان تولید این شماره را فراهم می کند.

هکرهای گروه تورلا از PRNG بهره برده اند تا یک شماره شناسایی یکتا به ابتدای هر ارتباط TLS جدید اضافه کنند. کسپرسکی توضیح نداده که هدف هکرها از به کار بردن این روش چه بوده اما در هر حال برای نفوذ به ترافیک رمزنگاری شده کاربر استفاده شده تا بتوانند در لحظه، بر ترافیک او نظارت کنند.

گفته می شود بدافزار ریداکتور توسط وبسایت های به ظاهر قانونی منتشر شده. با این حال محققان معتقدند که این وبسایت ها هرگز فایل های آلوده را ارائه نکرده اند. بلکه هکرها در میانه راهِ ترافیک های غیر رمزنگاری شده HTTP، فایل های اصلی را با نمونه های آلوده عوض کرده اند؛ روشی که نیاز به نفوذ به ارائه دهنده های سرویس اینترنت و و شنود ترافیک دارد.

پیش از این در سال 2019 نیز شرکت امنیت سایبری ESET خبر از نفوذ گروه تورلا به حداقل 4 ارائه دهنده خدمات اینترنت و جایگزینی فایل ها به روش مشابه داده بود. علاوه بر این هکرهای تورلا در سال 2015 به روش مشابهی با نصب یک درب پشتی در فایرفاکس، ترافیک کاربران این مرورگر را رصد کرده بودند.

گروه تورلا در سال 2015 موفق به ربودن ارتباط ماهواره ای و ارسال بدافزار به مناطق دور دست جهان از این طریق شده بودند. علاوه بر این سابقه هک کردن گروه های هکری جاسوسی دیگر کشورها را در پرونده خود دارند.