Kaspersky, resmi internet sitesi üzerinden paylaştığı raporda, Nisan 2019’da, şifreli web trafiğini tehlikeye atacak yeni bir kötü amaçlı yazılım keşfettiklerini açıkladı. Şirket, bilgisayar korsanlarının Chrome ve Firefox’taki HTTPS bağlantılarını virüslü olanlarla değiştirerek, şifreli web trafiği üzerinde bazı kontrollere sahip olduklarını aktardı.
İki web tarayıcısını hedef alan saldırının arkasında, Rus hükümetinin koruması altında faaliyet gösterdiğine inanılan hacker grubu Turla’nın olduğu ifade ediliyor. Kaspersky'nin raporuna göre hackerlar, Uzaktan Erişim Trojanı (Remote Access Trojan -RAT) ile Chrome ve Firefox sistemlerine sızıyorlar.
Bu süreç iki adımdan oluşuyor: Bilgisayar korsanları ilk önce her ana bilgisayara kendi virüslü dijital sertifikalarını yüklüyorlar. Bu, hackerların ana bilgisayardan gelen TLS (Transport Layer Security) veya Taşıma Katmanı Güvenliği trafiğini engellemesini sağlıyor.
İki iletişim uygulaması arasındaki verileri şifreleyerek güvenli şekilde iletilmesini sağlayan TLS, sözde rassal sayı üreteci ile oluşturuluyor. Hackerlar ise kullandıkları yeni teknikle bu süreci manipüle ediyor ve bu sayede şifreli web trafiğini pasif olarak izleyebiliyor.
Kaspersky, söz konusu saldırının merkezi olarak Rusya ve Belarus’u gösteriyor. Moskova hükümetinin desteğine sahip olduğuna inanılan Turla adındaki hacker grubu, geçmişte internet servis sağlayıcılarını tehlikeye atan pek çok saldırı girişiminde bulunmuştu. Putin yönetiminin, Turla gibi hacker gruplarını kullanarak muhalifleri ve diğer siyasi rakiplerini gözetlediği tahmin ediliyor.