Mulți hackeri nu se ating de browserele web dincolo de exploatarea vulnerabilităților lor, dar un grup de astfel de hackeri a decis sa mearga cu un pas mai departe.
Specialistii in securitate de la Kaspersky au publicat un raport detaliat despre incercarile unui grup rus de hackeri, Turla, de a amprenta traficul web criptat prin TLS, modificând browserele Chrome și Firefox.
Pentru a intercepta traficul securizat echipa de hackeri rusi a infectat mai întâi sistemele cu un troian cu acces la distanță pe care l-a folosit pentru a modifica browserele, începând cu instalarea propriilor certificate (pentru a intercepta traficul TLS de la gazdă). Apoi ei au instalat un patch capabil sa negociaze conexiunile TLS. Acest lucru le permite să adauge o amprentă la fiecare acțiune TLS și să urmărească pasiv traficul criptat.
Nu este clar de ce intrusii au nevoie sa faca asta. Dacă un hacker reuseste sa infecteze un sistem cu un troian, ce poate fi activat de la distanta, nu este necesar să foloseasca browserul pentru a spiona traficul. Cei de la ZDNet au sugerat că ar putea fi o noua cale ce le-ar permite intrusilor să spioneze traficul in continuare chiar daca utilizatorii reusesc sa elimine troianul insa nu sunt suficient de precauți pentru a-și reinstala browserele.
Autorii par să fie mai ușor de identificat și asta ar putea dezvălui motivele lor. Se crede că Turla funcționează sub protecția guvernului rus, iar țintele inițiale au fost localizate în Rusia și Belarus. Grupul este suficient de sofisticat incat a reusit sa compromita furnizori de internet din Europa de Est, infectand descărcările altfel curate. Aceasta poate fi o încercare de a spiona disidenții și alte ținte politice, folosind o metodă dificil de contracarat.
