一些网络监控组织非常先进，不惜花费数月时间侦探并深挖恶意软件代码为自己服务。被指跟俄罗斯存在关联的Turla就是这样一个组织。Turla组织一直攻击和俄罗斯存在政治利益的目标，该组织从2007年开始活跃，同时也被指跟活跃在20世纪90年代的网络监控组织之间有关联，最近它的攻击目标是前苏联国家的大使馆和领事馆。

　　恶意软件似乎源自Adobe官方服务器

ESET公司昨天发布一份长达29页的报告称，Turla黑客一直使用看似非恶意的Flash Player官方安装器传播代码。研究人员初次分析后发现，即使受害者从恶意来源下载文件后，文件也会连接到真正的Adobe域名和IP地址中并下载、安装这些文件。尽管流量看似合法，大使馆和领事馆的员工还是收到了一个新后门木马“蚊子”。带有“蚊子”后门的攻击发生在2016年7月，能让Turla组织嗅探重要文件并通过其它恶意软件感染用户。

Adobe并未被攻陷

ESET公司确信Turla黑客设法攻陷了Adobe服务器的场景是不存在的，否则肯定会被发现。ESET公司认为Turla黑客可能只是在炫耀自己的创新性，之后才会把被攻陷向量转换到软件供应链中。专家认为Turla黑客能够在Adobe Flash Player的安装进程中执行中间人攻击，方法就是用自己的恶意安装器替代合法安装器。这样就导致文件似乎传输自Adobe的服务器，但实际的文件已被黑客转换。

　　或是另外一起ISP级别的攻陷事件

虽然尚不知晓在哪个节点文件被转换，不过研究人员列出了四种场景：

1. 受害者组织机构网络中的一台设备可遭劫持从而用作本地中间人攻击的出发点，这将有效地将目标机器的运行中的流量重定向至本地网络中被攻陷的机器中。

2. 攻击者还可能攻陷组织机构的网关，从而拦截组织机构内网和互联网之间所有的流量。

3. 流量拦截还可能发生在互联网服务提供商(ISP)层面，这种技术已在研究人员对部署FinFisher间谍软件的监控活动中得到证实。所有已知的受害者都位于不同国家，而且研究人员已经通过至少四个不同的ISP识别出他们。

4. 攻击者可能使用BGP劫持将流量重路由至由Turla组织控制的服务器中，尽管这种技术可能会快速被Adobe或BGP监控服务发现。

最有说服力的场景是以上提到的第三个，因为之前发生过ISP级别的中间人攻击。2017年9月，ESET公司报道称一个未知网络监控组织攻陷了一家ISP并转移了某些目标所下载的文件。攻击者用受FinFisher监控软件套件感染的文件替换了WhatsApp、Skype、Avast、WinRAR、VLC Player等公司的合法文件。

ESET公司并未将这些攻击归因于具体的某个黑客组织，不过它们为Turla组织最近发动的攻击活动提供了最好的解释。网络间谍组织之间互相学习互取灵感已是不争的事实。

　　Turla组织劣迹斑斑

如果Turla组织确实是上述提到的两起攻击的黑手，那么网络安全社区也不会感到任何惊讶。如果说一个黑客组织有足够的能力和决心要发动这类攻击，那么非Turla莫属。Turla组织因发动多起高级别攻击而为人熟知，它使用卫星向全球边远地区传播恶意软件、开发出具有API的先进恶意软件、且它使用的恶意软件能将控制机制隐藏在Britney Spears(美国流行乐坛天后小甜甜布兰妮)的Instagram照片流中。

Turla组织一刻不停，一直都处于活跃状态。最近针对大使馆的攻击和ESET以及卡巴斯基在2017年8月公布的两起攻击是一致的。

(责任编辑：安博涛)