وصله کردن مرورگرهای وب برای پیگیری ترافیک رمزگذاری شده
محققان وصله جدیدی از بدافزارها را یافتهاند که احتمالاً از سوی یک گروه تهدید پیشرفته است، و میتواند مرورگرهای کروم و فایرفاکس را برای شناسایی ترافیک رمزگذاری شده از رایانه یک قربانی، وصله کند.
این تهدید به انجام حملات انسانی و ترافیکهای رمزگذاری شده توسط هکرها کمک میکند.
این تهدیدات با نام Reductor در پایان آوریل مشاهده شد و فعالیت آن حداقل تا ماه آگوست ادامه داشت. فعالیت این عامل خرابکارانه جدا از دستکاری ترافیک TLS، شامل مجموعهای از توابع دسترسی از راه دور یعنی بارگذاری، بارگیری و اجرای فایلها است.
عملکرد PRNG (مولّد اعداد شبه تصادفی) در مرورگرها برای تولید توالی تصادفی از اعداد در ابتدای بسته برای دستیابی اولیه بکار میرود که اتصال رمزگذاری شده در آن با سرور مذاکره میشود.
Reductor کد PRNG مرورگر را برای افزودن شناسههای سختافزاری و نرمافزاری وصله میکند که برای هر قربانی منحصربهفرد است. به این ترتیب، آنها میتوانند ترافیک رمزگذاری شده از یک میزبان به خطر افتاده در سراسر وب را دنبال کنند.
محققان امنیتی کسپرسکی میگویند: “این قابلیت، عامل تهدید را در یک باشگاه بسیار اختصاصی، همراه با امکاناتی که معدود عاملهای مخرب دیگر دنیا در اختیار دارند، قرار میدهد.”
برای حفظ جنبه شبه تصادفی PRNG ،Reductor از گواهینامهها (cert_hash) بر روی رایانه قربانی استفاده میکند.
Reductor یک حمله MitM را به خودی خود اجرا نمیکند، اما گواهینامههای نصب شده به انجام این کار کمک کرده و نصب قانونی آن را با یک نوع مخرب جایگزین میکنند.
این تئوری زمانی تأیید شد که محققان متوجه شدند که نصب کنندههای سرور آلوده نشده، با این وجود، قربانی یک نسخه به خطر افتاد را دریافت کرده است.
این تجزیه و تحلیل بر اساس رفتار کاربران انجام میشود و محققان نسبت به آنچه در سرور اتفاق افتاده است هیچ گونه نظری ندارند.
تحلیلگران کسپرسکی در تحقیقات خود دریافتند که Reductor شباهتهای بسیاری با COMPfun، تروجان فعال سال 2014 دارد که به عقیده آنها با گروه Turla APT نیز مرتبط است. هرچند این ارتباط تنها مبتنی بر آسیبشناسی است.