カスペルスキーによると、ハッカーグループはReductorと称するトロイの木馬を標的となるユーザーに送り、それを通じて独自のデジタル証明書をインストールします。さらにChromeとFirefoxが備えるHTTPS通信時のTLSハンドシェイクに必要な疑似乱数の生成を行うPRNG機能を改変して、2つのブラウザーが発信するTLS通信をハッカーの手元に傍受できるようにします。

なぜ標的のブラウザーの通信を傍受できるようにするのか、その目的は定かではありません。わざわざトロイの木馬を送り込むのであれば、ブラウザーでなくシステムの方を乗っ取ってしまう方が都合は良いはずです。ZDNetは、トロイの木馬を除去してもブラウザーの再インストールまではしない人が多いため(ハッカーにとっての)フェイルセーフになっているのではないかとの見解を示しています。

Turlaはロシア政府の支援を受けていると考えられており、通信衛星を乗っ取って世界中にマルウェアを配信する手法を使うことで知られています。過去にはブリトニー・スピアーズのInstagram投稿へのコメントにコードを仕込んだり、スパムメールにコマンドを仕込んでメールサーバーにバックドアを仕掛けたり、さらには他国のサイバースパイグループをハッキングして情報を収集したりする実力を持っているとされます。

今回の活動は、当初はロシアおよびベラルーシ国内に限られていました。この活動は、ロシア反体制派やその他の政治的標的の通信を探索するための試みとも推測されます。2020年には米国で大統領選挙もあることから、もしかするとまたSNSを通じて干渉するために、標的の通信内容を監視して情報を収集するなどということもあり得るかもしれません。