Russische hackers kapen Chrome en Firefox

7 oktober 2019

Een Russische hackersgroep gebruikt kwetsbaarheden in Chrome en Firefox om via fingerprinting TSL-versleuteld internetverkeer volgen. Dat blijkt uit onderzoek van beveiligingsfirma Kaspersky. De hackers werken vermoedelijk namens of samen met de Russische overheid.

De hackersgroep heeft de naam Turla, schrijft Kaspersky in een blogpost. Ze infecteren IT-systemen met een remote access trojan om toegang te krijgen tot de browsers op computers. De browsers Chrome en Firefox, beide erg populair, zijn vatbaar voor een lek dat de hackersgroep in staat stelt om eigen certificaten te installeren. Vervolgens weten ze ook de pseudo-willekeurige gegeneerde nummers van een beveiligde TLS-verbinding juist te krijgen. Met deze methode kunnen de hackers op afstand en zonder op te vallen meekijken met TLS-beveiligd internetverkeer.

Russische hackers
 
Dat is bijzonder omdat dergelijk TLS-verkeer normaliter goed afgeschermd is. Kwaadwillenden zouden niet mee kunnen moeten kijken. Dat de Turla-hackers dat - volgens Kaspersky - wel kunnen, is vooral zorgelijk voor mensen die iets te vrezen hebben van Russische hackers. Het is niet duidelijk op wie het collectief het gemunt heeft. Kaspersky schrijft dat de eerste doelwitten zich in Rusland en Belarus bevonden. Meerdere kenners vermoeden dat Turla bescherming en steun geniet van de Russische overheid. Mogelijk werken Turla-hackers met of namens de overheid, die actief cyberaanvallen uitvoert op activisten, dissidenten en Westerse landen. 
 

Meer informatie