ChromeとFirefoxを改変する「目的不明」の攻撃手法が新たに発見される

by geralt

カスペルスキーの研究者が、新たに、FirefoxやChromeに改変を加えることで、TLS暗号化されたトラフィックのフィンガープリントを取るという独特の攻撃手法の存在を発見しました。この手法は、APT攻撃を行うロシアのハッキンググループ「Turla」によるものだとみられていますが、ハッカーグループが何のためにこのような手法を用いているのか、セキュリティ研究者にもはっきりとわかっていないとのことです。

COMpfun successor Reductor infects files on the fly to compromise TLS traffic | Securelist
https://securelist.com/compfun-successor-reductor/93633/

Russian hacker group patches Chrome and Firefox to fingerprint TLS traffic | ZDNet
https://www.zdnet.com/article/russian-hacker-group-patches-chrome-and-firefox-to-fingerprint-tls-traffic/

この攻撃で、ハッカーはまず「Reductor」という名前のトロイの木馬をターゲットに感染させ、リモートアクセスを可能にします。そして各ホストに独自のデジタル証明書をインストールさせ、ホストのTLSトラフィックを傍受できるようにした後、ChromeやFirefoxの擬似乱数機能にパッチをあてます。擬似乱数はHTTPS接続を行う際のTLSネゴシエーションに使われるもの。ハッカーらは細工を施した擬似乱数を使って、TLS接続の開始時に小さなフィンガープリントを追加しています。

多くのハッカーがブラウザをターゲットにするのは、その脆弱性を利用するためであり、Turlaのような動きはほとんど観察されたことがありません。カスペルスキーの研究者によると、ハッカーの行動はユーザーの暗号化されたトラフィックを破るものではなく、その行動の理由について詳細な説明はありません。

ターゲットに感染させるReductorにより、ハッカーはデバイスの全てのコントロールを得ることが可能であり、リアルタイムでターゲットのネットワークトラフィックを監視することができます。しかし、ターゲットがトロイの木馬に気づいて、削除することも考えられます。トロイの木馬を削除しても、ブラウザを再インストールしない限りハッカーはターゲットのトラフィックを監視可能です。このことから、ハッカーはターゲットを監視する2つめの手段として新しい手法を編み出したとも考えられるとのこと。

by deepanker70

カスペルスキーの研究者は、初期のReductorの感染が、正規のウェブサイトからのダウンロード経由で起こったことを突き止めています。Reductorに感染したファイルを保持していなくとも、ダウンロードがHTTP経由で行われる場合、正規のソフトウェアをマルウェアの感染したソフトウェアに置き換えることは容易だと研究者は述べています。一方で、これはハッカーグループがISPのコントロールを得ているか、侵害している可能性を意味しているそうです。2018年にTurlaがISPを侵害していたことはESETが(PDFファイル)報告しています。

なお、Turlaは2019年時点で最も高度なハッカーグループの1つといわれており、過去には通信衛星をのっとってマルウェアを拡散していたことも判明しています。