2min

Een Russische hackersgroep die zich richt op spionage gebruikt een nieuwe techniek waarbij lokaal geïnstalleerde browsers als Chrome en Firefox aangepast worden, om de interne componenten van de browser aan te passen. De browser wordt vervolgens gebruikt worden voor het ‘fingerprinten’ van TLS-verkeer, waarbij iedere nieuwe verbinding een uniek kenmerk krijgt. 

De bedoeling is dat de manier waarop de twee browsers HTTPS-verbindingen opzetten wordt gewijzigd. Vervolgens wordt er per slachtoffer een fingerprint toegevoegd voor het TLS-versleutelde internetverkeer dat van de getroffen computers af komt.

De aanvalsvorm wordt toegekend aan Turla, een bekende hackersgroep die voor de Russische regering zou werken, schrijft ZDNet. Volgens beveiligingsbedrijf Kaspersky worden slachtoffers geïnfecteerd met een remote access trojan genaamd Reductor. Via die trojan worden de browsers aangepast. 

Aanpak van aanval

De hackers installeren daarvoor eerst hun eigen digitale certificaten op iedere geïnfecteerde host. Daarmee kunnen hackers TLS-verkeer vanaf de host onderscheppen. 

Daarna worden de installaties van Chrome en Firefox aangepast om hun pseudo-random number generation (PRNG) functies te patchen. Die functies worden gebruikt om willekeurige nummers te genereren om nieuwe TLS handshakes te onderhandelen en op te zetten, om zo een HTTPS-verbinding aan te maken. 

De aangepaste PRNG-functies worden gebruikt om een uniek kenmerk, een fingerprint, toe te voegen aan het begin van iedere nieuwe TLS-verbinding. Daarmee verschijnt een uniek ID-nummer in de verbinding. 

Waarom deze hack?

Waarom de Turla-hackers dit allemaal doen, is niet bekend. Ze proberen in ieder geval niet het versleutelde verkeer van een gebruiker te kraken, omdat de Reductor-trojan de hackers volledige controle over het getroffen apparaat geeft. Daarmee kunnen ze ook het netwerkverkeer in real-time bekijken. 

Mogelijk wordt de TLS-fingerprint als een tweede surveillance-mechanisme gebruikt, mochten slachtoffers de Reductor-trojan vinden en verwijderen, maar de browser niet opnieuw installeren. Met de fingerprint kan de groep de versleutelde verkeersstroom zien als het verbinding maakt met websites. 

Dat betekent in theorie ook dat Turla passief het HTTPS-verkeer over het internet kan bekijken.