انتشار بدافزار «Reductor»

به گزارش کارگروه امنیت سایبربان؛ به‌تازگی کارشناسان آزمایشگاه کسپرکی در ماه آوریل سال 2019 بدافزار جدیدی به نام «Reductor» شناسایی کرده‌اند که قادر است بدون سرقت، ترافیک رمزنگاری‌شده TLS را در لحظه و بلادرنگ رمزگشایی کند. به نظر می‌رسد این بدافزار متعلق به گروه هکری روس زبان Turla یا همان Venomous Bear، Snake، Uroboros، Waterbug است که به تروجان COMpFun نیز شباهت دارد. این تروجان توسط کارشناسان شرکت G Data Software در سال 2014 شناسایی‌شده است. 

مهاجمان با استفاده از این بدافزار از طریق رایانه‌های آلوده به COMpfun که در آن‌ها نسخه‌های جدیدی از بدافزار نصب‌شده، تهاجم اول و زمانی که سیستم هدف از وب‌سایت‌های شخص ثالث، نرم‌افزار دانلود می‌کند، حمله دوم را تدارک می‌بینند. مهاجمان زمانی که یک نرم‌افزار در رایانه کاربر از وب‌سایت‌های شخص ثالت دانلود می‌شود، سیستم هدف را در لحظه و بلادرنگ آلوده می‌سازند. نصب کننده نرم‌افزار در وبگاه‌های ورز (Warez) قرار دارد که حق تکثیر را نقض می‌کنند. این وبگاه‌ها نسخه‌ای غیررسمی و جعلی از نرم‌افزار را ارائه می‌دهند. رایانه قربانی درحالی‌که نصب کننده اصلی روی همین وبگاه‌ها موجود بوده و آلوده نشده، درنهایت به بدافزار آلوده می‌گردد. 

مهاجم پس از آلوده کردن سیستم، از بدافزار Reductor فعالیت‌های مرورگر را ردیابی می‌کند. این امر با پچ مولد اعداد شبه تصادفی مرورگر که برای اطمینان از اتصال ایمن و خصوصی بین کلاینت و سرور از طریق HTTPS استفاده می‌شود، صورت می‌گیرد. هکرها به‌جای دست‌کاری بسته‌های شبکه، مرورگرهای کروم و فایرفاکس را هدف قرار داده و عملکرد مولد اعداد شبه تصادفی را دست‌کاری می‌کنند. این امر به اپراتورهای بدافزار امکان رمزگشایی و سرقت ترافیک از طریق HTTPS را می‌دهد، چراکه آن‌ها از قبل می‌دانند ترافیک شبکه زمانی که قربانی اتصال TLS را برقرار می‌کند، چگونه رمزنگاری خواهد شد.

کارشناسان آزمایشگاه کسپرسکی می‌گویند این بدافزار عمدتاً برای جاسوسی از نهادهای دیپلماتیک در کشورهای مستقل هم‌سود مورداستفاده قرارگرفته است و در صورت گسترش می‌تواند تهدیدی بزرگ برای کاربران اینترنت باشد.