A Turla egy képzett kiberkém csoport, amely már több mint 8 éve aktív. A Turla támadói több száz számítógépet fertőztek meg 45 országban, többek között Kazahsztánban, Oroszországban, Kínában, Vietnámban és az Egyesült Államokban. A támadást elszenvedett szervezetek között vannak kormányzati intézmények, nagykövetségek, katonai, oktatási és kutatóközpontok, valamint gyógyszeripari cégek. A kezdeti szakaszban az Epic backdoor program profilírozza az áldozatokat. Kizárólag a legmagasabb besorolású célpontok esetében a támadás későbbi fázisaiban a támadók kiterjedt műholdas kommunikációs mechanizmust használnak, amely segít elrejteni a nyomaikat.
A műholdas kommunikáció leginkább a televíziós műsorszórás és a biztonságos kommunikáció eszközeként ismert, de internetszolgáltatáshoz is használják főként olyan távoli helyeken, ahol az internethozzáférés más módszerei lassúak és megbízhatatlanok, vagy egyáltalán nem érhetők el. Az egyik legelterjedtebb és legolcsóbb műhold alapú internet kapcsolat az úgynevezett "downstream-only" hozzáférés.
Ebben az esetben a felhasználó kimenő kérései hagyományos módon (vezetékes vagy GPRS kapcsolaton) jutnak célba, míg az összes bejövő forgalom a műholdról érkezik. Ez a technológia lehetővé teszi a felhasználó számára a viszonylag gyors letöltési sebességet, azonban van egy nagy hátránya: az összes beérkező forgalom kódolatlanul jut el a számítógépre. Bármely rosszindulatú felhasználó a megfelelő, olcsón megvásárolható berendezés és szoftver birtokában könnyedén kiszimatolhatja az internetforgalmat, és hozzáférhet minden adathoz, amelyet a felhasználók ily módon töltenek le.
A Turla csoport másképpen használja ki ezt a gyengeséget: ennek segítségével rejti el a parancs és vezérlő (C&C) szerverei elhelyezkedését. Ezek a szerverek az egyik legfontosabb részei a rosszindulatú infrastruktúrának. A C&C szerver lényegében a megcélzott gépekre telepített rosszindulatú programok bázisaként szolgál. Egy ilyen szerver helyének felfedezése elvezetheti a nyomozókat a kiberkémkedést irányító hackerekhez. A Turla csoport az alábbi módon kerüli el ennek a kockázatát:
- 1. A csoport először „belehallgat" a műholdas adatforgalomba, hogy azonosítsa a műholdas internetet éppen használók IP címét.
- 2.Ezután kiválasztanak egy online IP címet, amely alá elrejtik a C&C szervert a felhasználó tudta nélkül.
- 3. Ezután a Turla által megfertőzött gépek utasítást kapnak, hogy küldjenek adatokat a műholdas kapcsolatot igénybe vevő, kiválasztott felhasználók IP címére. Az adat hagyományos vonalakon halad a műholdas internet szolgáltatóhoz, majd felkerül a műholdra, végül a műholdról a kiválasztott IP címekre.
Érdekes módon, a legális felhasználó, akinek az IP címét a támadók a fertőzött gépekről való adatfogadásra használták, ugyancsak megkapja ezeket az adatcsomagokat, de szinte sosem veszi észre ezeket. Ez azért van, mert a Turla támadói utasítják a fertőzött gépeket, hogy olyan portokra küldjék az adatokat, amelyek az esetek többségében alapértelmezés szerint le vannak zárva. Így a számítógép egyszerűen eldobja ezeket a csomagokat, míg a Turla C&C szervere, amely nyitva tartja ezeket a portokat, fogadja és feldolgozza a beérkező adatokat.
Egy másik érdekessége a Turla taktikájának, hogy közel-keleti és afrikai országok műholdas szolgáltatóit használja. A vizsgálatok során a Kaspersky Lab szakértői észrevették, hogy a Turla csoport által használ IP címek többek között olyan országokban találhatók, mint Kongó, Libanon, Líbia, Niger, Nigéria, Szomália és az Egyesült Arab Emírségek.
Az ezen országok operátorai által használt rádióhullámok általában nem foghatók Európában és az észak-amerikai területeken, nehézzé téve így a legtöbb biztonsági kutatónak, hogy kivizsgálja ezeket a támadásokat.
"A múltban legalább három különböző támadót láttunk, amely műholdas alapú internetes linkeket használt működése leplezésére. Ezek közül a Turla által kidolgozott megoldás a legérdekesebb és a legszokatlanabb. Képesek elérni a legmagasabb szintű anonimitást, kihasználva egy széles körben alkalmazott technológiát – az egyirányú műholdas internetet. A támadók bárhol lehetnek a kiválasztott műholdas tartományban, amelynek mérete meghaladhatja akár a több ezer négyzetkilométert is," mondta Stefan Tanase, a Kaspersky Lab vezető biztonsági kutatója. "Ez szinte lehetetlenné teszi a támadó kézre kerítését. Mivel ezek a módszerek egyre népszerűbbé válnak, fontos, hogy a rendszergazdák foganatosítsák a megfelelő védelmi óvintézkedéseket ezen támadások elhárítására."
A Kaspersky Lab termékei sikeresen azonosítják és blokkolják a Turla által használt malware-eket, amelyek a következő neveket kapták: Backdoor.Win32.Turla.*, Rootkit.Win32.Turla.*, HEUR:Trojan.Win32.Epiccosplay.gen, HEUR:Trojan.Win32.Generic.