Sicurezza

Chrome e Firefox modificati da hacker russi a fini di spionaggio

L’hackeraggio a fini spionistici ha compiuto, purtroppo, un ulteriore salto di qualità. A dirlo è Kaspersky che nelle scorse ore ha reso noto di aver scoperto che un gruppo di hacker russi si sarebbe spinto fino a modificare due browser popolari come Chrome e Firefox, al fine di poter monitorare il traffico web, per motivi ancora non del tutto chiari. Normalmente ci si ferma allo sfruttamento delle vulnerabilità del codice e delle falle di sicurezza, ma qui siamo molto oltre.

Turla, questo il nome del gruppo dietro cui a quanto pare potrebbe esserci addirittura il Governo russo, modifica Chrome e Facebook al fine di inserire marcatori che si attivano nel momento dell’handshake nella connessione cifrata TLS, al fine di rendere identificabile dall’esterno il traffico web e poterlo monitorare.

Nella prima fase dell’attacco infatti gli hacker iniettano un trojan, ma quest’ultimo, oltre a essere utilizzato per gli usi che tutti conosciamo come il furto dei dati inviati e ricevuti, svolge anche altre funzioni, permettendo agli hacker di sostituire i certificati ufficiali con altri falsi. In questo modo in sintesi ogni connessione viene “marchiata” e resa riconoscibile, tramite l’elaborazione di un codice di riconoscimento univoco basato sulle caratteristiche hardware e software di ciascuna delle macchine infettate.

Proprio in questa strategia però risiedono le maggiori perplessità degli analisti, che non si spiegano a cosa serva utilizzare questo stratagemma dal momento che basterebbe il trojan presente nel sistema per monitorarne il traffico Web. L’unica ipotesi al momento è che si tratti di un sistema ridondante per assicurarsi il monitoraggio anche nel caso in cui il trojan sia rimosso.

Il gruppo hacker Turla comunque ha già dimostrato in passato di essere in possesso di tecniche avanzate e particolarmente raffinate per il monitoraggio delle comunicazioni web. Proprio qualche anno fa, infatti, era venuto alla ribalta per aver utilizzato le estensioni al fine di infettare i browser, ma qui siamo oltre. Come detto gli intenti non sono chiari, probabilmente l’obiettivo è quello di monitorare dissidenti e altri obiettivi politici, utilizzando metodi difficili da ‎‎ostacolare‎.