A Kaspersky, laboratório de pesquisa de segurança, tem um relatório detalhado sobre tentativas de um grupo hacker russo, Turla, de identificar tráfegos criptografados da web ao modificar o Chrome e o Firefox. A equipe primeiro infecta os sistemas com um trojan de acesso remoto e usa isso para modificar os navegadores, começando com a instalação de seus próprios certificados.

A partir dessa ação, eles conseguem interceptar o tráfego entre o computador do usuário e o TLS (Transport Layer Security) – protocolo projetado para fornecer segurança nas comunicações sobre uma rede de computadores. O trojan, então, altera a geração de números de conexões TLS, adicionando uma “impressão digital” a cada ação, o que permite que eles rastreiem passivamente o tráfego criptografado.

O motivo pelo qual os invasores precisariam fazer isso não está totalmente claro. Os autores parecem ser mais fáceis de identificar, e isso pode revelar seus motivos. Acredita-se que Turla trabalhe sob a proteção do governo russo, e os alvos iniciais foram localizados na Rússia e na Bielorrússia. O grupo é sofisticado o suficiente para comprometer os provedores de internet da Europa Oriental no passado e infectar downloads seguros.

Essa pode ser uma tentativa de bisbilhotar dissidentes e outros alvos políticos usando um método difícil de impedir. Para ficar seguro, talvez não baste desinstalar o trojan da sua máquina, o ideal seria, também, reinstalar o navegador, seja ele o Chrome ou o Firefox.

Via: Engadget