Многие хакеры не берутся вскрывать браузеры за пределами эксплуатации их уязвимостей, однако одна группа взломщиков пошла на этот смелый шаг. Специалисты Kaspersky опубликовали детальный отчет, посвященный попыткам российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox.
Процесс требует заразить машину цели вирусом-трояном с удаленным доступом, после чего тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. После этого они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Таким образом злоумышленники могут добавлять “отпечаток” к каждому TLS-действию и пассивно отслеживать шифрованный трафик.
Зачем злоумышленникам проделывать столь сложный процесс, если они и так могут заразить машину трояном, не совсем ясно — с удаленным доступом и без вмешательства в браузер можно следить за трафиком. ZDNet отмечает, что это может быть “черный ход” на случай обнаружения трояна.