Posté le octobre 7, 2019 à 20:57
LES HACKERS RUSSES ONT UNE NOUVELLE TECHNIQUE DE PRISE D’EMPREINTES DIGITALES DU TRAFIC TLS AU MOYEN DES NAVIGATEURS INTERNET
Le jeu interminable des hackers contre les chercheurs et les développeurs en sécurité se poursuit, mais cette fois, il semble que les hackers pourraient prendre le devant.
Récemment, il a été rapporté qu’un groupe de hackers russe, connu sous le nom de Turla, utilise une nouvelle technique pour patcher certains navigateurs et modifier leurs composants. Le but cette opération est de changer la façon dont les navigateurs tels que Firefox et Chrome établissent les connexions HTTPS. Il en résulte l’ajout d’une empreinte digitale unique pour le trafic TLS provenant des appareils de leurs victimes.
Les chercheurs savent qui est derrière cela
Comme mentionné, les chercheurs ont déclaré que le groupe de hackers responsable de la nouvelle méthode était un groupe russe de cyberespionnage bien connu appelé Turla. Le groupe est connu pour deux choses: travailler sous le gouvernement russe et trouver des méthodes intelligentes pour atteindre ses objectifs.
Quant à la nouvelle campagne, elle a été découverte par des chercheurs en sécurité de Kaspersky, qui ont publié un rapport à ce sujet la semaine dernière. Dans le rapport, des chercheurs ont expliqué que les hackers utilisent un cheval de Troie appelé Reductor pour infecter les victimes et modifier les navigateurs Chrome et Firefox.
Le processus décrit comprend deux étapes. La première consiste à installer les certificats numériques des hackers sur les appareils infectés et à intercepter le trafic crypté TLS provenant de ces appareils.
Ensuite, la deuxième étape comprend la modification des installations de Firefox et de Chrome et l’introduction d’un correctif pour leur fonction PRNG (Pseudo-Random Number Generation).
La fonction PRNG est utilisée par les navigateurs lorsqu’il est nécessaire de générer des nombres aléatoires, ce qui est généralement nécessaire lorsque le navigateur établit une nouvelle connexion TLS avec HTTPS.
Après avoir pris le contrôle des fonctions PRNG, les hackers ajoutent une empreinte digitale qui apparaît au début de chaque numéro. En conséquence, ils peuvent suivre chaque nouvelle connexion TLS.
Le motif
Le rapport des chercheurs de Kaspersky n’a pas précisé ce que les hackers en retirent, car ils n’utilisent pas cette technique pour casser le cryptage. En d’autres termes, leurs motivations exactes restent obscures pour le moment.
De plus, le cheval de Troie Reductor, que les chercheurs ont découvert sur les dispositifs piratés, permet aux hackers de prendre le contrôle intégral des dispositifs s’ils le souhaitent. Cela inclut également la possibilité de surveiller les activités et le trafic des utilisateurs en temps réel, ce qui signifie que la nouvelle technique n’apporterait rien de nouveau.
Toutefois, il est possible que les hackers souhaitent simplement un mécanisme de surveillance en cas d’accident, au cas où le cheval de Troie serait retrouvé et enlevé. Bien sûr, cela fonctionnerait seulement si les utilisateurs ne réinstallent pas leur navigateur.
C’est peut-être la raison pour laquelle l’empreinte digitale TOL permet à Turla de voir la victime se connecter à divers sites Web. Plusieurs groupes de recherche sur la sécurité sont parvenus à cette conclusion, y compris Kaspersky, bien que cela ne reste qu’une théorie.
D’où provient l’infection?
Selon les chercheurs de Kaspersky, l’infection provient de différents téléchargements de logiciels que les victimes ont réalisés, même s’ils l’ont fait sur des sites Web légitimes.
Ils sont arrivés à cette conclusion après avoir suivi le cheval de Troie Reductor, ce qui est intéressant, car les sites de ‘warez’ n’ont jamais hébergé de fichiers infectés par Reductor. En d’autres termes, les fichiers n’ont pas été infectés sur les sites Web, mais plutôt pendant leur téléchargement, car ils ont été téléchargés par les victimes.
Cependant, puisque les téléchargements ont eu lieu sur HTTP au lieu de HTTPS, le remplacement des fichiers originaux par les fichiers infectés n’aurait pas dû être un énorme problème pour un groupe de hachers comme Turla.
Bien sûr, cela indiquerait également un problème beaucoup plus important, comme la possibilité que Turla a également réussi à pirater un FAI (fournisseur de services Internet), afin qu’il puisse flairer le trafic de leurs utilisateurs.
Bien sûr, ce genre de chose est tout à fait possible lorsqu’il s’agit de hackers russes, comme c’était le cas auparavant. En janvier 2018, une société de sécurité en ligne connue sous le nom d’ESET a signalé qu’au moins quatre FAI étaient déjà compromis par ce même groupe de hackers.
Ils l’ont fait dans toute l’Europe de l’Est, principalement dans l’ancienne région soviétique, avec à peu près le même objectif de remplacer les fichiers légitimes par les fichiers infectés pendant le téléchargement. Cela étant dit, il n’est guère exagéré de supposer qu’ils ont peut-être fait la même chose une nouvelle fois.
Après tout, Turla est considéré comme l’un des groupes de pirates informatiques les plus chevronnés d’aujourd’hui, se classant bien au-dessus de la plupart des autres groupes. Ils sont connus pour utiliser des astuces et des techniques avancées qu’aucun autre groupe ne peut proposer avant des années.
Parmi leurs réalisations antérieures, on peut citer le piratage de satellites de télécommunications, qui sont ensuite utilisés pour infecter même certaines des zones les plus isolées par des logiciels malveillants. Ils ont également créé des logiciels malveillants qui ont utilisé les photos Instagram de Britney Spears pour cacher ses mécanismes de contrôle.
Ensuite, ils ont créé une porte dérobée de serveur de messagerie qui recevait des instructions et des commandes de messages spam. Enfin, ils ont même piraté d’autres hackers, travaillant pour les gouvernements d’autres pays.
