セキュリティ

ChromeとFirefoxを改変する「目的不明」の攻撃手法が新たに発見される

by geralt

カスペルスキーの研究者が、新たに、FirefoxやChromeに改変を加えることで、TLS暗号化されたトラフィックのフィンガープリントを取るという独特の攻撃手法の存在を発見しました。この手法は、APT攻撃を行うロシアのハッキンググループ「Turla」によるものだとみられていますが、ハッカーグループが何のためにこのような手法を用いているのか、セキュリティ研究者にもはっきりとわかっていないとのことです。

COMpfun successor Reductor infects files on the fly to compromise TLS traffic | Securelist
https://securelist.com/compfun-successor-reductor/93633/

Russian hacker group patches Chrome and Firefox to fingerprint TLS traffic | ZDNet
https://www.zdnet.com/article/russian-hacker-group-patches-chrome-and-firefox-to-fingerprint-tls-traffic/


この攻撃で、ハッカーはまず「Reductor」という名前のトロイの木馬をターゲットに感染させ、リモートアクセスを可能にします。そして各ホストに独自のデジタル証明書をインストールさせ、ホストのTLSトラフィックを傍受できるようにした後、ChromeやFirefoxの擬似乱数機能にパッチをあてます。擬似乱数はHTTPS接続を行う際のTLSネゴシエーションに使われるもの。ハッカーらは細工を施した擬似乱数を使って、TLS接続の開始時に小さなフィンガープリントを追加しています。

多くのハッカーがブラウザをターゲットにするのは、その脆弱性を利用するためであり、Turlaのような動きはほとんど観察されたことがありません。カスペルスキーの研究者によると、ハッカーの行動はユーザーの暗号化されたトラフィックを破るものではなく、その行動の理由について詳細な説明はありません。

ターゲットに感染させるReductorにより、ハッカーはデバイスの全てのコントロールを得ることが可能であり、リアルタイムでターゲットのネットワークトラフィックを監視することができます。しかし、ターゲットがトロイの木馬に気づいて、削除することも考えられます。トロイの木馬を削除しても、ブラウザを再インストールしない限りハッカーはターゲットのトラフィックを監視可能です。このことから、ハッカーはターゲットを監視する2つめの手段として新しい手法を編み出したとも考えられるとのこと。

by deepanker70

カスペルスキーの研究者は、初期のReductorの感染が、正規のウェブサイトからのダウンロード経由で起こったことを突き止めています。Reductorに感染したファイルを保持していなくとも、ダウンロードがHTTP経由で行われる場合、正規のソフトウェアをマルウェアの感染したソフトウェアに置き換えることは容易だと研究者は述べています。一方で、これはハッカーグループがISPのコントロールを得ているか、侵害している可能性を意味しているそうです。2018年にTurlaがISPを侵害していたことはESETが(PDFファイル)報告しています

なお、Turlaは2019年時点で最も高度なハッカーグループの1つといわれており、過去には通信衛星をのっとってマルウェアを拡散していたことも判明しています。

この記事のタイトルとURLをコピーする

・関連記事
サイバー攻撃レポートで明らかになったロシアのサイバー攻撃体制とは? - GIGAZINE

重要なインフラ施設の安全装置を狙うマルウェア「TRITON」にロシアの研究機関が関与している可能性 - GIGAZINE

ロシアのサイバー攻撃の手口とその防衛方法を記した警戒情報をアメリカ政府機関が発表 - GIGAZINE

中央銀行や国営通信、チェルノブイリ原発をシステムダウンさせたマルウェア「NotPetya(GoldenEye)」が世界レベルで大流行 - GIGAZINE

イランの核燃料施設へのサイバー攻撃は「オランダのスパイ」を潜入させて実行されたという詳細 - GIGAZINE

in セキュリティ, Posted by logq_fa

You can read the machine translated English article here.