Российские хакеры отслеживают зашифрованный трафик

Специалисты «Лаборатории Касперского» выяснили, что такую активность проявляют хакеры из группировки Turla. Они вносят определенные изменения в веб-обозреватели Firefox и Chrome. Это позволяет им получить доступ к зашифрованному TLS трафику, чтобы перехватывать информацию и следить за пользователями.

Сначала хакеры любым доступным способом подсаживают в систему специального трояна. Для этого обычно используется обман и способы социальной инженерии. Пользователям по почте могут отправить ссылку на зараженный сайт, откуда осуществится загрузка вредоносного ПО. Вирус также могут отправить во вложении электронного письма или в личном сообщении. Чтобы вынудить пользователя открыть письмо, там могут написать что-то интригующее. Как только человек поведется на уловку хакеров, они сразу же загружают на компьютер своей жертвы троян Reductor. Он обеспечивает удаленный доступ к чужому ПК и позволяет вносить изменения в используемые на компьютере бразуеры. В первую очередь они пытаются установить собственные сертификаты безопасности, позволяющие перехватывать зашифрованный трафик с атакуемого компьютера.

Эксперты признались, что им не совсем понятен механизм действия хакеров. Дело в том, что при получении удаленного доступа к компьютеру вносить изменения в браузер уже нет необходимости, так как хакеры и так могут получить доступ к абсолютно любой информации, хранящейся на ПК. Однако эксперты нашли объяснение таким действиям. Троянские программы часто обнаруживает обновленное антивирусное ПО. В этом случае даже после обнаружения и удаления трояна с ПК внесенные в браузер изменения все же сохранятся, поэтому злоумышленники и дальше смогут перехватывать трафик пользователей.