Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Il gruppo Turla modifica Chrome e Firefox, ma qual è il loro obiettivo?
La tecnica sembra avere come obiettivo quello di inserire un elemento che permette di tracciare i collegamenti criptati. Ma il tutto viene fatto dopo aver installato un trojan sul PC…
Quando analizzano un malware, di solito i ricercatori di sicurezza non impiegano molto tempo per comprendere quali siano gli obiettivi e le strategie adottati dai pirati informatici, anche quando le tecniche utilizzate sono completamente nuove.
Nel caso dei nuovi attacchi di Turla (un gruppo di cyber-criminali russi di cui abbiamo parlato già in passato) i ricercatori di Kaspersky sono rimasti piuttosto perplessi.
Come si legge nel report pubblicato oggi dalla società di sicurezza sul suo blog ufficiale, i pirati russi stanno utilizzando un trojan che ha delle funzionalità piuttosto bizzarre.
Si chiama Reductor e fa tutto quello che ci si può aspettare che faccia un trojan: furto di dati e intercettazione dei dati inviati e ricevuti dal computer infetto.
Il malware, però, esegue anche delle operazioni aggiuntive che, a prima vista, sembrano decisamente “ridondanti” e che mirano a gettare le basi per eseguire un’intercettazione del traffico Internet dall’esterno.
Reductor, infatti, aggiunge un certificato digitale sui browser installati e avvia un “aggiornamento” di Chrome e Firefox per fare in modo che il traffico sia identificabile.
Quest’ultimo obiettivo viene raggiunto inserendo una sorta di “marcatore” che si attiva al momento dell’handshacke nella connessione TLS. Reductor interviene infatti sul sistema di PRNG (pseudo-random number generation), cioè la funzione che genera valori numerici casuali al momento della connessione HTTPS.
Lo stratagemma, in pratica, inserisce un codice di riconoscimento elaborato attraverso le caratteristiche hardware e software della macchina infetta, “marchiando” così ogni connessione.
L’obiettivo dei pirati, in definitiva, sembra essere quello di gettare le basi per poter intercettare il traffico attraverso un attacco Man in The Middle che verrebbe portato in seguito.
Le perplessità derivano dal fatto che, avendo già installato un trojan sul computer, questo tipo di stratagemma sembra decisamente inutile. L’unica spiegazione logica è che l’operazione voglia garantire la possibilità di intercettare il traffico del PC compromesso anche nel caso in cui il trojan dovesse essere rimosso.
Non solo: per poter sniffare il traffico Internet, i pirati dovrebbero avere una qualche via di accesso. Su questo punto i ricercatori di Kaspersky, però, ritengono di poter avere pochi dubbi.
Stando al report, infatti, Reductor viene distribuito all’interno di software piratati apparentemente “innocui” (per quanto lo possa essere una versione pirata di un programma commerciale) scaricati da siti che si collocano sul confine tra legalità e illegalità.
Dalle indagini condotte dagli analisti, i siti in questione non hanno subito compromissioni (gli installer sui loro server non contengono il trojan) e, di conseguenza, l’infezione dovrebbe avvenire attraverso la sostituzione del file in fase di trasferimento dal sito al computer.
Insomma: l’ipotesi è che i pirati abbiano compromesso un Internet Service Provider e stiano sfruttando questa posizione privilegiata non solo per diffondere il trojan, ma anche per intercettare il traffico dei computer compromessi attraverso il marcatore che inseriscono con la “contaminazione” del PRNG.
Qualcosa che ci si può aspettare tranquillamente dal gruppo Turla, che in passato ha già dimostrato di essere anni luce avanti rispetto ai normali “colleghi” del settore e avere un particolare feeling con le tecniche di compromissione dei sistemi di comunicazione.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
