Kaspersky asegura que un grupo de hackers ruso es capaz de parchear Chrome y Firefox para espiar conexiones cifradas
Desde hace unos años, hemos visto que compañías como Google se esfuerzan para empujar el uso del protocolo HTTPS, con el que podemos certificar que la web instalada es legítima y que mantiene la integridad y la privacidad de los datos de conexión.
Gracias a este protocolo podemos evitar que los posibles atacantes interfieran en los datos transferidos entre la página que estamos visitando y el navegador. Un informe publicado por Kaspersky ha revelado que los hackers rusos están utilizando una técnica novedosa, con la que consiguen parchear navegadores instalados localmente.
Turla: un grupo de hackers sospechoso de actuar bajo la protección del gobierno ruso
Afirman que mediante esta técnica consigue modificar los componentes internos de navegadores como Chrome o Firefox . Gracias a estas modificaciones, aunque estemos utilizando HTTPS, los atacantes conseguirán rastrearnos a través de las páginas que visitamos.
“En abril de 2019, descubrimos nuevo malware que compromete las comunicaciones web cifradas de forma impresionante”.
En su informe, Kaspersky atribuye la autoría de esta técnica a Turla: un conocido grupo de hackers que se cree que opera bajo la protección del gobierno ruso. La compañía de seguridad informática asegura que los hackers están infectando a las víctimas con un troyano de acceso remoto llamado ‘Reductor’.
En un primera paso, los hackers consiguen instalar sus propios certificados digitales en cada host infectado . Gracias a ello consiguen interceptar cualquier tráfico TLS procedente del host. En un segundo paso modifican la instalación de Chrome y Firefox para parchear sus funciones de generación de números pseudo-aleatorios (PRNG).
Curiosamente, parece que este método no nació para romper el cifrado de las páginas web , sino para actuar como una herramienta de vigilancia secundaria. Aunque el usuario descubra el troyano y lo elimine de su equipo, los hackers continuarán espiando sus actividades.
Kaspersky advierte que si queremos eliminarlo por completo tendríamos que hacer una instalación nueva del navegador (algo a lo que seguramente no recurrirían muchos usuarios). Al parecer, los objetivos de estos hackers están centrados en Rusia y Bielorrusia, donde se cree que se hace para espiar a los objetivos políticos y a los disidentes.