Не так давно была отечественные взломщики стали использовать новую технологию, которая позволяет им получать доступ к секретным данным самых популярных браузеров. В результате ряда манипуляций им удалось добраться до настроек HTTPS-подключений в Chrome и Firefox. Помимо этого, злоумышленники могут завладеть вашим интернет-трафиком, зашифрованным по протоколу TLS.
Речь идёт о хакерской группировке Turla, которой ранее уже приписывали атаки серверов Microsoft Exchange и даже взломы программного обеспечения космических спутников. Многие полагают, что она действует под покровительством российского правительства.
Согласно отчётам «Лаборатории Касперского», злоумышленники удалённо заражают персональные компьютеры своих жертв трояном Reductor, с помощью которого в дальнейшем модифицируют необходимые настройки браузеров. Устанавливая собственные цифровые сертификаты на каждый заражённый хост, хакеры перехватывают весь поток исходящего TLS-трафика. Помимо этого, они взламывают Chrome и Firefox для улучшения своих механизмов генерации псевдослучайных чисел (PRNG).
На данный момент у экспертов «Касперского» нет объяснения, для чего хакеры делают это. Исследователи сообщают, что данные пользователей является не главной их целью, а, скорее, неприятным бонусом. Reductor позволяет злоумышленникам получить полный контроль над трафиком жертв, включая возможность отслеживания его в режиме реального времени.
Что интересно, даже если пользователь каким-то образом обнаруживает оригинальный троян и удаляет его со своего компьютера, хакеры все ещё могут шпионить за его действиями. Единственный способ полностью избавиться от вируса — переустановить браузер, но многие могут до этого просто не додуматься. Как известно, предполагаемые цели злоумышленников находятся в России и Беларуси. Считается, что речь идёт о политических деятелях и важных для стран персонах. Обычным пользователям, скорее всего, опасаться нечего.
Turla является довольно серьёзной группировкой. В отчёте за январь 2018 года, опубликованном ассоциацией кибербезопасности ESET, было показано, что ранее русские хакеры захватили как минимум четырёх интернет-провайдеров в Восточной Европе и на постсоветском пространстве. Всё это тоже было нацелено на заражение вредоносным ПО. Тогда они использовали троян под названием Mosquito.
Это также не первый случай, когда хакеры Turla изменяют компоненты браузера для запуска вредоносного программного обеспечения на заражённых хостах. В 2015 году они уже совершали подобное с Firefox.
