Siber korsanlar, web tarayıcılarına açıklarından yararlanmanın dışında pek fazla dokunmuyor. Ancak bir grup korsan, bunun biraz ötesine geçmiş gibi görünüyor. Siber güvenlik şirketi Kaspersky, Turla isimli bir grubun Chrome ve Firefox’u modifiye ederek TLS ile şifrelenmiş web trafiğini kopyaladığını ortaya çıkardı.
Saldırganlar ilk olarak uzaktan kontrol edilebilen Trojan virüsleriyle sistemlere sızıyor. Ardından sisteme kendi sertifikalarını yükleyen korsanlar, TLS bağlantılarıyla iletişimi kontrol etmeye başlıyor. Tüm TLS bağlantılarına bir parmak izi ekleyen virüs, böylelikle şifreli bağlantıları da pasif olarak izleme altına alabiliyor.
Chrome ve Firefox saldırılarının arkasında kim var?
Siber korsanların neden bunu yaptığı konusunda somut bir gerekçe sunmak pek kolay değil. Eğer bir sisteme Trojan virüsü bulaştırıldıysa, web trafiğini izlemek için tarayıcıya ekstra bir yama yapmak gerekmiyor. ZDNet‘e göre, bu sayede Trojan sistemden çıkartılmış olsa bile web trafiğini izlemek mümkün olabilir. Dolayısıyla en kesin çözüm olarak Trojan’ı sistemden çıkardıktan sonra internet tarayıcısını yeniden yüklemek gösterilebilir.
Turla’nın arkasında Rusya’nın olduğu iddia ediliyor. Grubun ilk hedeflerinin Rusya ve Belarus’ta olduğu belirtiliyor. Grubun Doğu Avrupa’daki internet sağlayıcılarının sistemlerine sızacak ve temiz indirme işlemlerine müdahale edebilecek kadar gelişmiş bir yapıda olduğu öne sürülüyor. Kremlin’in bu yöntemle muhalifleri ve diğer siyasi figürleri izliyor olabileceği belirtiliyor.
