Многие хакеры пользуются уязвимостями в браузерах, но иногда можно пойти ещё дальше. Например, лаборатория Касперского описывает работу российских хакерской группы под названием Turla. Она внесла изменения в браузеры Chrome и Firefox, чтобы отслеживать зашифрованный в TLS веб-трафик. Сначала в компьютерные системы внедрили троян с возможностью дистанционного доступа, а он в свою очередь внёс изменения в браузеры. Были подменены сертификаты, чтобы перехватывать трафик TLS с хоста. Затем внесли изменения в генератор псевдослучайных чисел, которые задействован при установке соединения TLS. Это позволило идентифицировать каждое действие TLS и пассивно отслеживать зашифрованный трафик.

Не совсем понятно, с какой целью это делалось. Если внедрить в систему троян с дистанционным управлением, необязательно вносить изменения в браузер, чтобы отслеживать трафик. Возможно, это было сделано для обеспечения дополнительной отказоустойчивости операции. Можно продолжать следить за трафиком, если пользователи найдут и удалят троян, но не переустановят браузеры.

Обнаружить этих хакеров оказалось достаточно просто, а за счёт этого можно будет узнать и об их мотивах. Высказывается предположение, что группа Turla работает с разрешения правительства и цели наблюдения были в России и Белоруссии. Группа достаточно изощрённая, чтобы проникнуть внутрь восточноевропейских провайдеров и внедрить вредоносный код в загружаемые файлы. Таким образом можно вести наблюдение за оппозиционерами и другими неугодными.