האקרים רוסים שינו את כרום ופיירפוקס כדי לרגל ברשת
כך על פי חוקרי קספרסקי ● העקבות הן של טורלה -קבוצת האקרים רוסית, שייתכן שפעלה בחסות ממשלת רוסיה ● קורבנות ראשונים של המתקפה של טורלה, הפועלת בחסות ממשלת רוסיה, כבר אותרו ברוסיה ובבלארוס
האקרים רבים לא יגעו בדפדפני האינטרנט מעבר לניצול הפגיעויות שלהם, אולם קבוצה אחת לקחה את הדברים צעד אחד קדימה. חוקרי קספרסקי זיהו ניסיונות של קבוצת ההאקרים הרוסית טורלה, להשיג גישה לפרוטוקול TLS, על ידי שינוי הדפדפנים כרום ופיירפוקס.
TLS הוא ראשי תיבות של Transport Layer Security – אבטחת שכבת התעבורה, פרוטוקול מוצפן לטובת אבטחה של האינטרנט.
על פי קספרסקי, צוות ההאקרים הדביק תחילה מערכות בסוס טרויאני המופעל בשליטה מרחוק, וניצל זאת כדי לשנות את הדפדפנים, החל מהתקנת אישורים משלהם – כדי ליירט את התנועה של TLS מהמארח, ואז לטפל בסדרת המספרים, האקראית לכאורה, שמנהלת את הקשר עם חיבורי ה-TLS. זה מאפשר להם להוסיף טביעת אצבע לכל פעולת TLS ולעקוב באופן פסיבי אחר התנועה המוצפנת.
רק שאלה אחת נותרה לא ברורה: מדוע שההאקרים יעשו זאת? אם הם הדביקו מערכת באמצעות הסוס הטרויאני בשלט רחוק, הם אינם נדרשים לערוך שינויים בדפדפן כדי לעקוב אחר התעבורה. מומחי אבטחה העריכו כי ייתכן שמדובר בפעולה כושלת, שמספקת להאקרים יכולת לרגל אחר תנועה ברשת גם של כאלה שהצליחו להסיר את הסוס הטרויאני – אך לא היו זהירים מספיק כדי להתקין מחדש את הדפדפנים שלהם.
טורלה, או אורובורוס, מתייחס לשני דברים: האחד, חבילה של נוזקות מסוג סוס טרויאני. השני, קבוצת האקרים שמומחי אבטחת מידע וקציני מודיעין מערביים מעריכים שהיא פועלת בחסות הממשל הרוסי – שפיתחו ומפתחים את חבילת הנוזקות בעלת אותו שם.
מומחי אבטחה העריכו כי ההאקרים קלים יותר לזיהוי, וייתכן ששל כך יהיה ניתן לחשוף את מניעיהם. קורבנות ראשונים של המתקפה של טורלה, הפועלת בחסות ממשלת רוסיה, כבר אותרו ברוסיה ובבלארוס. על פי המומחים, הקבוצה מספיק מתוחכמת, ובעבר פרצה לספקיות אינטרנט במזרח אירופה. הערכה נוספת היא שיתכן שמדובר בניסיון לרגל אחר מתנגדים פוליטיים ואחרים, בשיטה שקשה לסכל אותה.
תגובות
(0)