BK: "Massive Welle an erpresserischen Mails"

© sp4764 - Fotolia

Digital Life
10/07/2019

Russische Hacker manipulieren Chrome und Firefox

Die Angreifer konnten über die Modifizierung der Browser die Internetverbindungen der betroffenen Nutzer ausspionieren.

Die russische Hackergruppe Turla konnte durch einem Angriff auf Nutzer von Chrome und Firefox bei verschlüsselten Internetverbindungen mitlesen. Kaspersky hat den Angriff im April entdeckt. In einem Blogeintrag beschreibt das Sicherheitsunternehmen die neuartige Methode der Hacker als beeindruckend.

Demnach wurde zunächst der Remote-Trojaner mit dem Namen "Reductor" auf dem PC der Opfer installiert. Anschließend konnte die Gruppe den Quellcode der Browser anpassen und damit Zugriff auf die Daten des TLS-Traffics erhalten. Zudem konnten sie Downloads wie Installationsprogramme, sekundenschnell durch eigene infizierte Dateien ersetzen. 

Manipulierter TLS-Handshake

TLS (Transport Layer Security) ist ein Protokoll zur Verschlüsselung von Datenübertragungen. Dabei identifizieren sich die Betreiber einer Website gegenüber dem Client mit einem Zertifikat, der dieses dann überprüft. Optional können beide Seiten einander verifizieren. Anschließend wird ein Schlüssel generiert, mit dem die Verbindung abgesichert wird. Den gesamten Vorgang nennt man TSL-Handshake.

Um sich in dieses System zu hacken, haben die Angreifer den Pseudozufallszahlengenerator (PRNG) von Firefox und Chrome editiert, der die Schlüssel für die sichere Verbindung ausspuckt. So konnte ein digitaler Fingerabdruck integriert werden, mit dem Tusla die Verbindungen passiv überwachen konnte.

Motiv unklar

Offen bleibt allerdings, wofür Tusla einen so hohen Aufwand betrieben hat. Der Trojaner hätte bereits eine umfangreiche Kontrolle des infizierten Geräts möglich gemacht und ein zusätzliches Modifizieren der Browser wäre damit unnötig. ZDnet vermutet, dass die Hacker sich absichern wollten, falls Nutzer den Trojaner entfernen, ihre Browser jedoch nicht neu installierten. Damit hätten sie weiterhin den Traffic überwachen können. 

Um den Trojaner über Downloadseiten zu verteilen, müsste Tusla Internetanbieter  mit ihrer Malware infiziert haben, so Kaspersky. Die Gruppe wird mit der russischen Regierung in Verbindung gebracht und wird als eine der größten und fähigsten Hackergruppen gesehen, die momentan aktiv sind. 2015 übernahmen sie beispielsweise einen Satelliten und versendeten darüber Malware.