Rosjanie atakują przeglądarki: zmieniają ich działanie, by móc śledzić ruch
W sieci pojawił się nowy atak na przeglądarki internetowe. Szkodliwy program zachowuje się jak aktualizacja i podmienia wewnętrzne komponenty Chrome'a lub Firefoxa. To pozwala atakującym śledzić szyfrowany ruch.
Jak działa atak na przeglądarki?
Atak zaczyna się od infekcji trojanem Reductor, dającym cyberszpiegom zdalny dostęp do systemu. Następnie przestępcy modyfikują generator liczb pseudolosowych przeglądarki. Możesz wyobrazić sobie, że szyfrowany ruch zamykany jest w pudełku na cyfrową kłódkę. Zmieniając zachowanie generatora, atakujący graweruje na niej serduszko.
Wszystkie pakiety z tej przeglądarki będą miały ten sam znak na wciąż działającej kłódce. Szyfrowane połączenia są nawiązywane prawidłowo. Wspomniane serduszko to kilka liczb, pomagających rozpoznać daną ofiarę infekcji, można więc śledzić, jakie strony odwiedza. Identyfikator zawiera między innymi zakodowana wersja BIOS-u komputera, karty graficznej i numer dysku.
Nie jest jasne, po co są wydobywane te dane, gdyż po infekcji trojanem napastnicy i tak mogą podsłuchiwać ruch sieciowy. Być może to kolejna faza bardziej złożonego ataku. Specjaliści z Kaspersky Lab są zdania, że to dodatkowe zabezpieczenie – trojan Reductor może zostać usunięty przez program antywirusowy, ale drobna zmiana plików przeglądarki zostanie niezauważona.
Nie można też wykluczyć, że szpiedzy po prostu obserwują ruch w sieci. Po udanym ataku wiedzą, że wszystkie transmisje oznaczone serduszkiem pochodzą z jednej maszyny.
Nowy atak prosto z Rosji
Opisany atak został powiązany z organizacją cyberszpiegowską z Rosji. Specjaliści są przekonani, że to dzieło grupy Turla, działającej pod ochroną rosyjskiego rządu. To jedna z najlepiej rozwiniętych i najbardziej niebezpiecznych grup tego typu.
Ślady działania grupy znaleziono w 45 krajach, w tym w Polsce. Do bardziej znanych ataków grupy należy rozsyłanie wirusów przez łącza satelitarne oraz koordynacja ataków z użyciem komentarzy na Instagramie Britney Spears.
Członkom grupy Turla przypisuje się liczne ataki na przedsiębiorstwa. Wiele z nich polegało na instalacji backdoorów – furtek dla dalszych działań szpiegowskich. Możliwe, że ci sami ludzie działają pod nazwami Waterbug, Venomous Bear, Snake i Krypton. Wskazuje na to używanie takich samych szkodliwych programów i skryptów (malware) i zakres działań.
Jak się bronić?
Jedynym skutecznym wyjściem będzie tu całkowite odinstalowanie przeglądarki i zainstalowanie jej od nowa. Jeśli twój program antywirusowy wykrył Reductor (następca COMpfun), zrób to jak najszybciej.
Trojan może znajdować się w pliku lub być wstrzyknięty podczas odwiedzania stron internetowych bez szyfrowania (protokół HTTP zamiast HTTPS).