"Ruski virus" pretvara Chrome i Firefox u špijune zaštićenog internet saobraćaja

Pripadnici ruske hakerske grupe Turla razvili su trojanski virus koji, kada zarazi operativni sistem nekog račnara, menja internet brauzere tako što prvo instalira sertifikate za presretanje TLS saobraćaja sa izvora.

Zatim se, pri nasumičnom generisanju brojeva koji upravljaju TLS spajanjem, pravi zakrpa. Ona, međutim, omogućava uzmanje otiska svake TLS akcije, pa time pasivno prati sav kodirani saobraćaj.

U kompaniji Kasperski nisu uspeli da dokuče šta je ruskim hakerima bilo motiv za praćenje kodiranog saobraćaja, ali ako se sistem zarazi daljinski upravljanim trojancem, onda nije potrebno da pravi zakrpa internet pregledača ne bi li se špijunirao zaštićeni saobraćaj na njemu.

Prema pisanju sajta ZDNet, u pitanju je možda "osigurač" koji ruskim hakerima omogućava da nastave da špijuniraju kodirani saobraćaj u brauzerima i nakon što korisnik ukloni trojanski virus.

Foto: Depositphotos/mihtiander

I to pod uslovom da korisnik nije dovoljno oprezan pa nastavi da koristi modifikovani pregledač, umesto da ga deinstalira i ponovno instalira na računar, posle uklanjanja trojanca.

Inače, za hakersku grupu Turla se veruje da radi pod patronatom Kremlja, kao i da su primarne mete njihovih napada locirane su u Rusiji i Belorusiji. Turla je veoma sofisticirana u svom delovanju, pa je tako, u prošlosti, uspela da kompromituje istočnoevropske internet provajdere, kao i da zarazi inače "čista" preuzimanja sa interneta.

U tom kontekstu, ovo je možda jedan od pokušaja praćenja disidenata i drugih političkih "meta" upotrebom metode koju je prilično teško osujetiti.

Foto: Depositphotos/bizoon