I cracker russi di Turla colpiscono Chrome e Firefox

Chrome-Firefox: Turla, dalla Russia con il trojan

Kaspersky ha identificato un complesso metodo di attacco attribuito al gruppo russo Turla: prende di mira i browser Chrome e Firefox.
Chrome-Firefox: Turla, dalla Russia con il trojan
Kaspersky ha identificato un complesso metodo di attacco attribuito al gruppo russo Turla: prende di mira i browser Chrome e Firefox.

Arriva dai ricercatori di Kaspersky l’allerta di una nuova minaccia informatica che prende di mira i browser e che punta a intercettare il traffico TLS (Transport Layer Security) generato dagli utenti in fase di navigazione. La tecnica è attribuita a un gruppo russo identificato come Turla, secondo alcuni sostenuto dalle autorità di Mosca.

Turla colpisce Chrome e Firefox

Il metodo è piuttosto complesso: anziché sfruttare le vulnerabilità presenti nei software, i malintenzionati prima infettano i computer delle loro vittime attraverso un trojan battezzato Reductor (successore di COMpfun) ottenendone così l’accesso remoto, poi installano dei propri certificati alterando i PRNG (numeri pseudo-casuali utilizzati per la comunicazione), arrivando a catturare i dati scambiati tra client anche se trasmessi mediante protocollo HTTPS e dunque protetti da crittografia. Infine, modificano il codice di Chrome e Firefox.

Non è del tutto chiaro quale sia lo scopo di quest’ultima azione: non sarebbe infatti necessario applicare una patch corrotta al browser per spiare il traffico generato se il dispositivo è già stato compromesso da un trojan. Un’ipotesi è che, così facendo, i cracker potrebbero continuare a intercettare le informazioni anche in seguito alla rimozione della componente malevola. Per togliere di mezzo definitivamente il pericolo, l’utente dovrebbe reinstallare Chrome o Firefox.

L’azione sembra essere indirizzata in particolare a obiettivi situati in Russia e in Bielorussia. Turla, il gruppo ritenuto responsabile, in passato ha messo in ginocchio le protezioni di alcuni provider locali caricando file contenenti codice maligno scaricati poi inavvertitamente dagli inconsapevoli utenti. In questo caso lo scopo potrebbe essere l’intercettazione di comunicazioni legate a dissidenti o avversari politici.

Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
7 ott 2019
Link copiato negli appunti