В апреле 2019 года «Лаборатория Касперского» обнаружила инструмент Reductor, который позволяет подменять генератор псевдослучайных чисел в Firefox и Chrome, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам. Это помогает злоумышленникам тайно следить за действиями пользователя в браузере. Кроме того, найденные модули малвари имели в своем составе функции удаленного администрирования, что делает возможности этого ПО практически неограниченными.

С помощью данного инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, преимущественно следили за трафиком пользователей.

Установка малвари происходит в основном либо с помощью вредоносной программы COMPfun, идентифицированной ранее как инструмент кибергруппировки Turla, либо через подмену «чистого» ПО в процессе скачивания с легитимного ресурса на компьютер пользователя (Internet Downloader Manager, WinRAR и так далее). Это, скорее всего, означает, что у злоумышленников есть контроль над сетевым каналом жертвы. Кроме того, исследователи отмечают, что код Reductor весьма схож с COMPfun, то есть новое вредоносное ПО, скорее всего, было разработано авторами COMPfun.

«Мы впервые столкнулись с такого рода вредоносной программой, позволяющей обойти шифрование в браузере и долгое время оставаться незамеченной. Уровень ее сложности позволяет предположить, что создатели Reductor — серьезные профессионалы. Часто подобные зловреды создаются при поддержке государства. Однако мы не располагаем доказательствами того, что Reductor имеет отношение к какой-либо конкретной кибергруппировке», — говорит Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

Интересно, что подобные атаки, похоже, происходят не ради взлома зашифрованного трафика пользователя. Ведь вредонос Reductor, присутствующий на устройствах пользователей, позволяет хакерам получить полный контроль над зараженной системой, включая возможность наблюдения за сетевым трафиком жертвы в режиме реального времени. Отсюда можно сделать вывод, что хакеры используют «TLS-отпечатки» в качестве вторичного механизма наблюдения, на тот случай, если жертва обнаружит и удалит Reductor, но не озаботится переустановкой браузеров. Таким образом преступники могут обнаруживать зашифрованный трафик жертвы, когда та подключается к различным сайтам.

 

Оставить мнение