Много хакери не се занимават с уеб браузъри отвъд използването на техните уязвимости, но една група отвежда нещата една стъпка по-напред. Компанията за киберсигурност Kaspersky обяви, че има подробни опити от руска група на име Turla да получи достъп до TLS-криптиран уеб трафик чрез промяна на кода на Chrome и Firefox.

Екипът първо заразява системи с троянски кон за отдалечен достъп и го използва за модифициране на браузърите, започвайки с инсталирането на собствени сертификати (за прехващане на TLS трафик от хоста) и след това пачва псевдослучайно генериране на числа, което захранва TLS връзките. Това им позволява да добавят дигитален пръстов отпечатък към всяко TLS действие и пасивно да проследяват криптиран трафик.

Защо хакерите го правят, все още не е напълно ясно. Ако сте заразили система с троянски кон, контролиран дистанционно, не е необходимо да пачвате браузъра, за да шпионирате трафика. Сайтът ZDNet предполага, че може да се окаже похват, който позволява хакери да шпионират трафика за хора, които могат да премахнат троянския кон, но не са достатъчно предпазливи, за да преинсталират отново своите браузъри.

Изглежда, че извършителите са по-лесни за идентифициране, и това може да разкрие техните мотиви. Смята се, че Turla работи под закрилата на руското правителство, а първоначалните цели са били разположени в Русия и Беларус. Групата е достатъчно организирана, за да компрометира източноевропейските интернет доставчици в миналото, за да зарази иначе чисти браузъри. Това може да е опит за следене на дисиденти и други политически цели чрез метод, който е трудно да се осуети от повечето крайни потребители.

Виж още: Бивш служител на Yahoo е претърсил имейлите на над 6000 души за голи снимки