Trojan patcht Chrome en Firefox om HTTPS-verkeer te spioneren

De Russische hackergroep Turla infecteert slachtoffers met een trojan genaamd Reductor. Het betreft een nieuwe techniek, waarbij browsers als Chrome en Firefox worden gepatcht om de interne componenten van de browsers te wijzigen.

Reductor heeft als doel het veranderen van de manier waarop de browsers HTTPS-verbindingen opzetten en een vingerafdruk per slachtoffer toevoegen voor het TLS-versleutelde webverkeer van de geïnfecteerde computers. Dit stelt beveiligingsspecialist Kaspersky in een recent gepubliceerd rapport.

Twee stappen

Reductor werkt als volgt: Als eerste worden de eigen digitale certificaten van de hackers op elke geïnfecteerde host geïnstalleerd. Dit stelt ze in staat TLS-verkeer dat afkomstig is van de host te onderscheppen.

Ten tweede worden de Chrome- en Firefox-installaties gewijzigd om zo hun pseudo-random number generation (PRNG)-functies te patchen, die worden gebruikt bij het genereren van willekeurige getallen. Deze getallen zijn weer nodig voor het tot stand brengen van nieuwe TLS-handshakes voor HTTPS-verbindingen.

De besmette PRNG-functies worden gebruikt om een ​​kleine vingerafdruk toe te voegen aan het begin van elke nieuwe TLS-verbinding. De structuur van deze vingerafdruk is als volgt:

Secundair surveillance-mechanisme

Er zijn al lange tijd aanwijzingen dat de hackergroep Turla opereert onder bescherming van de Russische overheid, aldus ZDNet. Alleen is niet duidelijk wat Turla nu precies voor ogen heeft met Reductor. Een mogelijke verklaring is dat hackers de TLS-vingerafdruk gebruiken als een secundair surveillance-mechanisme. Dat voor het geval slachtoffers de Reductor-trojan vinden en verwijderen, maar hun browsers niet opnieuw installeren. 

Met de TLS-vingerafdruk kan de Turla-groep de versleutelde verkeersstroom van het slachtofferherkennen, terwijl deze verbonden is met verschillende websites op het web. De Reductor-trojan geeft hackers namelijk volledige controle over het apparaat van een slachtoffer, inclusief de mogelijkheid het netwerkverkeer van een slachtoffer in realtime te bekijken. Dat zou volgens verschillende beveiligingsonderzoekers en het Kaspersky-rapport betekenen dat Turla ook in staat is om passief HTTPS-verkeer op het web te observeren.