Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Kaspersky: jaunatklāta spiegprogrammatūra manipulē ar HTTPS trafiku

Kaspersky: jaunatklāta spiegprogrammatūra manipulē ar HTTPS trafiku

Kaspersky pētnieki ir atklājuši jaunu ļaundabīgo programmu saimi, sauktu par Reductor, kas ļauj valsts līmeņa kiberuzbrucējiem manipulēt ar Hypertext Transfer Protocol Secure (HTTPS) trafiku, modificējot pārlūka gadījuma skaitļu ģeneratoru, ko izmanto, lai nodrošinātu privātu savienojumu starp klientu un serveri.

 

 

Pēc inficēšanas Reductor tiek izmantots, lai izspiegotu upura pārlūkprogrammas aktivitātes, ziņo Kaspersky Globālā pētījumu un analīzes grupa (GReAT), kas atklāja ļaunprogrammatūru. Pētnieki saka, ka Reductor tiek izmantots kiberspiegošanas veikšanai diplomātiskajās iestādēs postpadomju valstīs, kas pazīstamas kā Neatkarīgo Valstu Sadraudzība.

Lai arī ļaunprogrammatūra ir unikāla, pētnieki ziņo, ka Reductor ir ciešas saites ar COMpfun Trojas zirgu. COMpfun ļaunprogrammatūru sākotnēji dokumentēja G-DATA pētnieki 2014. gadā. Kopš tā laika Kaspersky ir saistījis COMpfun ar krievvalodīgo APT grupu Turla (sauktu arī par Snake, Venomous Bear, Waterbug and Uroboros).

Jaunākais Reductor infekciju vilnis sākās 2019. gada aprīlī un turpinājās arī ceturtdien, kad Kaspersky publiskoja savu pētnieku ziņojumu. Par īpašu Reductor padara tas, kā uzbrucējiem ir izdevies instalēt ļaunprogrammatūru sistēmās un kā viņiem ir izdevies apiet HTTPS aizsardzību.

Pirmais no diviem galvenajiem uzbrukumu vektoriem, lai piegādātu ļaunprogrammatūru saviem upuriem, ir COMpfun inficētās sistēmas, kas lejupielādē un instalē ļaunprogrammatūru. Otrais uzbrukuma vektors ir programmatūras lejupielāde no trešo pušu vietnēm. “Acīmredzot uzbrucējam bija spēja izmainīt tīru programmatūru datu pārraides laikā, kad tā tika lejupielādēta no likumīgām vietnēm uz lietotāju datoriem,” sacīja pētnieki.

Tiklīdz sistēma ir inficēta, Reductor pāriet uz interneta komunikāciju uzraudzību. Tas tiek darīts, “salabojot” pārlūku pseido nejaušo skaitļu ģeneratorus, ko izmanto, lai šifrētu trafiku starp lietotāja pārlūkprogrammu un vietnēm, izmantojot HTTPS. Citiem vārdiem sakot, tā vietā, lai mēģinātu manipulēt ar tīkla paketēm, uzbrucēji mērķē uz pārlūkprogrammām Firefox un Chrome un to pseidogadījuma skaitļu ģenerēšanas funkcijām.

Kaspersky GReAT pētnieks Kurts Baumgartners sacīja, ka viņš iepriekš nav redzējis ļaunprogrammatūras izstrādātājus mijiedarbojamies ar pārlūka šifrēšanu tādā veidā, kā to dara Reductor autori. Pēc viņa teiktā, Reductor izstrādātāju demonstrētais sarežģītības līmenis norāda uz ļoti augstu profesionālismu, kas parasti tiek saistīts ar valsts līmeņa uzbrucējiem. “Mēs aicinām visas organizācijas, kas darbojas ar slepenu informāciju, būt modriem un regulāri, pamatīgi veikt drošības pārbaudes,” sacīja Baumgartners.

Pētījums “COMpfun successor Reductor infects files on the fly to compromise TLS traffic” atrodams Securelist vietnē.

 

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

9 + 1 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu