Jedna od vodećih globalnih tvrtki za kibernetičku sigurnost, Kaspersky, otkrila je pokušaj ruske hakerske skupine "Turla" u uzimanju otisaka internetskog prometa zaštićenog TLS (Transport Layer Security) protokolom kako bi do tih podataka pokušala doći izmjenama na web-preglednicima Chrome i Firefox.
Ruski hakeri prvo zaraze sustav trojanskim virusom putem kojeg rade preinake u spomenutim web-preglednicima, počevši s tim da instaliraju certifikate za presretanje TLS prometa s izvora. Nakon toga rade zakrpu prilikom pseudonasumičnog generiranja brojeva koji upravljaju TLS spajanjem. To im omogućuje da uzmu otisak svake TLS akcije te na taj način pasivno prate sav kodirani promet.
Iz Kasperskog nisu dokučili koji bi bio motiv ruskim hakerima za praćenje kodiranog prometa, no ako se sustav zarazi daljinski upravljanim trojancem, ne mora se raditi zakrpa web-preglednika kako bi se špijunirao zaštićeni promet na njemu.
ZDNet sugerira da je možda riječ o osiguraču koji dopušta toj hakerskoj skupini da nastavi špijunirati kodiran promet na web-preglednicima i nakon što korisnik ukloni trojanski virus i pod uvjetom da isti korisnik nije dovoljno oprezan te nastavi i dalje koristiti tako modificirani web-preglednik, umjesto da ga deinstalira i ponovno instalira na računalo nakon uklanjanja trojanca.
Vjeruje se da Turlu sponzorira ruska vlada, a njihove inicijalne mete locirane su u Rusiji i Bjelorusiji. Ta je skupina dovoljno sofistificirana da je u prošlosti uspjela kompromitirati istočnoeuropske pružatelje usluga interneta te zaraziti inače "čista" preuzimanja s weba.
To je možda i pokušaj da se njuška oko disidenata i drugih političkih meta korištenjem metode koju je izrazito teško osujetiti.
Izvor: ZDNet
