Data: Czwartek, 10 października 2019, 20:27

Szkodliwy program Reductor przechwytuje ruch HTTPS poprzez manipulowanie generatorem „losowych” liczb przeglądarek

Chociaż litera „S” w „HTTPS” oznacza „Secure” (bezpieczny), sugerując, że informacje wymieniane pomiędzy przeglądarką a stroną internetową nie są dostępne osobom trzecim, ugrupowanie hakerskie dysponujące odpowiednimi umiejętnościami potrafi znaleźć wiele sposobów pozwalających ingerować w ten proces. Taką ingerencję umożliwia Reductor, który został wykorzystany do szpiegowania placówek dyplomatycznych w krajach Wspólnoty Niepodległych Państw. Co więcej, wykryte moduły posiadały funkcje zdalnej administracji, a możliwości tego szkodnika były niemalże nieograniczone.

Osoby rozprzestrzeniające oprogramowanie Reductor wykorzystywały dwa główne wektory ataków, z których jeden obejmował pobieranie modułów za pośrednictwem szkodliwego oprogramowania COMPfun, które wcześniej przypisywane było rosyjskojęzycznemu cybergangowi o nazwie Turla. Drugi wektor okazał się bardziej wyrafinowany: najwyraźniej cyberprzestępcy znaleźli sposób na modyfikowanie w czasie rzeczywistym oprogramowania pobieranego ze stron internetowych na komputer ofiary. Instalatory oprogramowania były pobierane ze stron oferujących bezpłatnie aplikacje, za które w legalnej dystrybucji trzeba zapłacić (tzw. warezy). Chociaż dostępne na tych stronach instalatory nie były pierwotnie zainfekowane, po znalezieniu się na komputerach ofiar zawierały szkodnika. Badacze z firmy Kaspersky doszli do wniosku, że do podmiany dochodzi w locie, a osoby stojące za Reductorem posiadają pewną kontrolę nad kanałem sieciowym swoich celów.

Po przedostaniu się na urządzenie ofiary Reductor manipuluje zainstalowanymi certyfikatami cyfrowymi, modyfikując generatory liczb pseudolosowych przeglądarek wykorzystywane do szyfrowania ruchu przepływającego od użytkownika do stron HTTPS. W celu identyfikacji ofiar, których ruch ma być przechwytywany, cyberprzestępcy dodają dla każdej z nich unikatowe identyfikatory oparte na sprzęcie oraz oprogramowaniu, oznaczając je przy pomocy określonych liczb w generatorze już nie tak losowych liczb. Po zmodyfikowaniu przeglądarki na zainfekowanym urządzeniu cyberprzestępcy otrzymują informacje na temat działań wykonywanych w takiej przeglądarce, podczas gdy ofiara niczego nie podejrzewa.