Szkodliwy program Reductor przechwytuje ruch HTTPS
Badacze z firmy Kaspersky wykryli nowe szkodliwe oprogramowanie, które przechwytuje interakcję ofiar ze stronami HTTPS poprzez modyfikowanie generatora liczb pseudolosowych wykorzystywanego w procesie ustanawiania zaszyfrowanej komunikacji między użytkownikiem a zasobem internetowym. Poza instalacją fałszywych certyfikatów cyfrowych, szkodnik ten umożliwia cyberprzestępcom szpiegowanie aktywności użytkowników na stronach WWW
Chociaż litera "S" w "HTTPS" oznacza "Secure" (bezpieczny), sugerując, że informacje wymieniane pomiędzy przeglądarką a stroną internetową nie są dostępne osobom trzecim, ugrupowanie hakerskie dysponujące odpowiednimi umiejętnościami potrafi znaleźć wiele sposobów pozwalających ingerować w ten proces. Taką ingerencję umożliwia Reductor, który został wykorzystany do szpiegowania placówek dyplomatycznych w krajach Wspólnoty Niepodległych Państw. Co więcej, wykryte moduły posiadały funkcje zdalnej administracji, a możliwości tego szkodnika były niemalże nieograniczone.
Osoby rozprzestrzeniające oprogramowanie Reductor wykorzystywały dwa główne wektory ataków, z których jeden obejmował pobieranie modułów za pośrednictwem szkodliwego oprogramowania COMPfun, które wcześniej przypisywane było rosyjskojęzycznemu cybergangowi o nazwie Turla. Drugi wektor okazał się bardziej wyrafinowany: najwyraźniej cyberprzestępcy znaleźli sposób na modyfikowanie w czasie rzeczywistym oprogramowania pobieranego ze stron internetowych na komputer ofiary. Instalatory oprogramowania były pobierane ze stron oferujących bezpłatnie aplikacje, za które w legalnej dystrybucji trzeba zapłacić (tzw. warezy).
Chociaż dostępne na tych stronach instalatory nie były pierwotnie zainfekowane, po znalezieniu się na komputerach ofiar zawierały szkodnika. Badacze z firmy Kaspersky doszli do wniosku, że do podmiany dochodzi w locie, a osoby stojące za Reductorem posiadają pewną kontrolę nad kanałem sieciowym swoich celów.
Po przedostaniu się na urządzenie ofiary, Reductor manipuluje zainstalowanymi certyfikatami cyfrowymi, modyfikując generatory liczb pseudolosowych przeglądarek wykorzystywane do szyfrowania ruchu przepływającego od użytkownika do stron HTTPS. W celu identyfikacji ofiar, których ruch ma być przechwytywany, cyberprzestępcy dodają dla każdej z nich unikatowe identyfikatory oparte na sprzęcie oraz oprogramowaniu, oznaczając je przy pomocy określonych liczb w generatorze już nie tak losowych liczb. Po zmodyfikowaniu przeglądarki na zainfekowanym urządzeniu cyberprzestępcy otrzymują informacje na temat działań wykonywanych w takiej przeglądarce, podczas gdy ofiara niczego nie podejrzewa.
Nigdy wcześniej nie spotkaliśmy się z tym, aby twórcy szkodliwego oprogramowania majstrowali w ten sposób z szyfrowaniem przeglądarki - powiedział Kurt Baumgartner, badacz ds. cyberbezpieczeństwa z firmy Kaspersky. Jest to działanie dość wyrafinowane i pozwoliło atakującym pozostawać przez długi czas poza radarem. Poziom zaawansowania metody ataku sugeruje, że twórcy szkodnika Reductor to profesjonaliści - co jest dość powszechne wśród ugrupowań wspieranych przez rządy. Nie zdołaliśmy jednak znaleźć przekonujących tropów technicznych, które mogłyby pomóc powiązać to szkodliwe oprogramowanie ze znanym cybergangiem. Zalecamy wszystkim organizacjom mającym do czynienia z wrażliwymi danymi, aby zachowały czujność i regularnie przeprowadzały dokładne kontrole bezpieczeństwa.
