Turla黑客组织通过另一种聪明/古怪的黑客技术来实现自己的声誉。

发现了一个俄罗斯网络间谍黑客组织，它使用一种新颖的技术，该技术涉及修补本地安装的浏览器（例如Chrome和Firefox），以修改浏览器的内部组件。

这些修改的最终目标是改变两个浏览器建立HTTPS连接的方式，并为来自受感染计算机的TLS加密的网络流量添加每个受害者的指纹。

攻击归咎于TURLA

这种新型攻击归因于著名的黑客组织Turla，据信该组织在俄罗斯政府的保护下运作。

根据卡巴斯基（Kaspersky）本周发布的报告，黑客正在使用名为Reductor的远程访问木马感染受害者，并通过该木马修改了这两种浏览器。

此过程涉及两个步骤。他们首先为每个受感染的主机安装自己的数字证书。这将使黑客能够拦截来自主机的任何TLS流量。

其次，他们修改了Chrome和Firefox的安装，以修补其伪随机数生成（PRNG）功能。这些函数用于生成协商和建立HTTPS连接的新TLS握手过程所需的随机数。

Turla黑客正在使用这些受污染的PRNG功能在每个新的TLS连接开始时添加一个小的指纹。卡巴斯基研究人员在今天发布的一份报告中解释说，这种指纹的结构如下：

前四个字节的哈希（cert_hash）是使用Reductor的所有数字证书构建的。对于每个哈希，哈希的初始值都是X509版本号。然后将它们与序列号中的所有四字节值按顺序进行异或。所有计数的哈希值相互进行XOR运算以构建最终的哈希值。运营商对每个受害者都知道这个值，因为它是使用他们的数字证书构建的。第二个四字节哈希（hwid_hash）基于目标的硬件属性：SMBIOS日期和版本，Video BIOS日期和版本以及硬盘驱动器卷ID。运营商对每个受害者都知道这个值，因为它用于C2通信协议。后三个字段使用前四个字节-初始PRN XOR密钥进行加密。在每一轮中，XOR密钥都会随着MUL 0x48C27395 MOD 0x7FFFFFFF算法而变化。结果，字节保持伪随机，但内部加密了唯一的主机ID。

撤离后跟踪机制？

卡巴斯基没有解释为何Turla黑客会这样做。不管它是什么，都不是为了破坏用户的加密流量。

用户设备上存在的Reductor RAT可以使黑客已经完全控制受害者的设备，包括实时监视受害者的网络流量的能力。

但是，一种可能的解释是，如果受害者发现并删除了Reductor木马，但没有重新安装其浏览器，则黑客将TLS指纹用作辅助监视机制。

有了TLS指纹，Turla小组就可以在受害者连接到网络上的各种网站时发现受害者的加密流量。

ZDNet从一些安全研究人员那里听到的“理论”也意味着Turla将能够被动地观察Web上的HTTPS流量。巧合的是，卡巴斯基的报告证实了这一点。

卡巴斯基的研究人员说，他们追踪了最初的Reductor木马感染，这些感染是从合法网站或“ warez”站点制作的软件下载受害者。

研究人员说，那些网站从未托管过Reductor感染的文件，因此Turla黑客修改这些文件的唯一方法是它们正在通过互联网传输时。

卡巴斯基说，由于下载也是通过HTTP进行的，因此用受污染的文件替换合法文件实际上是一件非常琐碎的任务。

但是，这意味着Turla黑客还控制或损害了互联网服务提供商，以嗅探所有流量并用受污染的文件替换合法文件。

但这对俄罗斯黑客来说可不是一件容易的事，而且以前他们也做过同样的事情。网络安全公司ESET于2018年1月发布的一份报告显示，Turla在东欧和前苏联空间之前至少侵害了四家ISP，其目的还在于阻止下载并将恶意软件添加到合法文件中。

这些ISP的威胁有可能再次发生，但是这次，他们部署了Reductor，而不是Mosquito木马。

正常的TURLA程序

总而言之，Turla一直是当今最复杂的黑客组织之一。小组使用的技巧和技术领先于其他所有人。

众所周知，该组织劫持并使用电信卫星将恶意软件传送到全球偏远地区，开发了恶意软件，将其控制机制隐藏在布兰妮·斯皮尔斯（Britney Spears）的Instagram照片中发表的评论中，开发了通过垃圾邮件接收命令的电子邮件服务器后门，查找消息，并攻击了其他国家的网络间谍黑客组织。

Turla改变浏览器组件以在受感染主机上部署恶意软件时，这也不是第一次。该集团以前安装的后门Firefox插件在受害者的浏览器早在2015年[ 1，2 ]，它用来密切关注用户的网络流量。

修补Chrome和Firefox只是为了能够在受害者被踢出工作站后跟踪受害者的HTTPS流量，这与他们以前的高明黑客和技术模式很相符。