Arriva dai ricercatori di Kaspersky l’allerta di una nuova minaccia informatica che prende di mira i browser e che punta a intercettare il traffico TLS (Transport Layer Security) generato dagli utenti in fase di navigazione. La tecnica è attribuita a un gruppo russo identificato come Turla, secondo alcuni sostenuto dalle autorità di Mosca.
Turla colpisce Chrome e Firefox
Il metodo è piuttosto complesso: anziché sfruttare le vulnerabilità presenti nei software, i malintenzionati prima infettano i computer delle loro vittime attraverso un trojan battezzato Reductor (successore di COMpfun) ottenendone così l’accesso remoto, poi installano dei propri certificati alterando i PRNG (numeri pseudo-casuali utilizzati per la comunicazione), arrivando a catturare i dati scambiati tra client anche se trasmessi mediante protocollo HTTPS e dunque protetti da crittografia. Infine, modificano il codice di Chrome e Firefox.
Non è del tutto chiaro quale sia lo scopo di quest’ultima azione: non sarebbe infatti necessario applicare una patch corrotta al browser per spiare il traffico generato se il dispositivo è già stato compromesso da un trojan. Un’ipotesi è che, così facendo, i cracker potrebbero continuare a intercettare le informazioni anche in seguito alla rimozione della componente malevola. Per togliere di mezzo definitivamente il pericolo, l’utente dovrebbe reinstallare Chrome o Firefox.
L’azione sembra essere indirizzata in particolare a obiettivi situati in Russia e in Bielorussia. Turla, il gruppo ritenuto responsabile, in passato ha messo in ginocchio le protezioni di alcuni provider locali caricando file contenenti codice maligno scaricati poi inavvertitamente dagli inconsapevoli utenti. In questo caso lo scopo potrebbe essere l’intercettazione di comunicazioni legate a dissidenti o avversari politici.