Niepokojące informacje płyną od analityków z firmy Kaspersky. Rosyjscy hakerzy z grupy Turla po raz kolejny dają o sobie znać. Tym razem na niebezpieczeństwo narażeni są użytkownicy przeglądarek Chrome oraz Firefox.
O tajemniczej grupie hakerów posługujących się językiem rosyjskim słyszymy co jakiś czas już od kilku lat. Czasami używają nazwy Turla, czasem Snake, a czasem Uroboros. Ważniejsze od ich sławy jest jednak to, że ofiarami ich ataku może paść aż 65% użytkowników Internetu w Polsce (to procentowy udział przeglądarek według danych serwisu StatCounter na maj tego roku.). Warto tu jednak wspomnieć, że poprzednie raporty firmy Kaspersky wspominały o naszym kraju w kontekście niskiej ilości infekcji. To z jednej strony dobra wiadomość, niemniej z drugiej strony pokazuje, że nadal jesteśmy podatni na zagrożenia.
Atak poprzez infekcję
Specjaliście z firmy Kaspersky dostarczają nowych informacji na temat grupy Turla i ich kolejnych działań. Nikt pewnie nie będzie zaskoczony. Atak tradycyjnie odbywa się poprzez zainfekowanie komputera ofiary złośliwym oprogramowaniem.
Tym razem oprogramowanie ingeruje w przeglądarki Chrome oraz Firefox, dzięki temu hakerzy przejmują nad nimi kontrolę i podmieniają certyfikaty bezpieczeństwa na te spreparowane przez nich. Dzięki temu mogą uwierzytelniać sesje protokołu TLS oraz są w stanie śledzić i podsłuchiwać zaszyfrowany ruch. Niestety nie są dalej jawne motywy cyberprzestępców.
TLS (ang. Transport Layer Security) – przyjęte jako standard w Internecie rozwinięcie protokołu SSL (ang. Secure Socket Layer), zaprojektowanego pierwotnie przez Netscape Communications. TLS zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy również klienta. Opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509.
Według modelu OSI, TLS działa w warstwie prezentacji, dzięki czemu może zabezpieczać protokoły warstwy najwyższej – warstwy aplikacji, np.: telnet, HTTP, gopher, POP3, IMAP, NNTP, SIP. – Wikipedia.
Analitycy kierują uwagę na związki grupy Turla z rosyjskim rządem i tym, że działają pod ich ochroną. W przeszłości celem ataków były osoby ze świata polityki i gospodarki. Grupa ma dużą siłę oraz dostęp do nowoczesnych technik i narzędzi.
Turla nie przebiera też w środkach. Swego czasu ich ataki doprowadziły do infekcji sprzętu VoIP, drukarek, sprzętu sieciowego oraz naraziła na szwank dziesiątki firm, w tym dużych dostawców Internetu ze wschodu.
Źródło: Kaspersky