A Turla kiberkém-csoport jó nyolc év óta működik; tagjai számítógépek százait fertőzték meg 45 országban, a többi között Kazahsztánban, Oroszországban, Kínában, Vietnámban és az Egyesült Államokban. A támadást elszenvedett szervezetek között vannak kormányzati intézmények, diplomáciai képviseletek, katonai, oktatási és kutatóközpontok, valamint gyógyszeripari cégek. A kezdeti szakaszban az Epic backdoor program profilírozza az áldozatokat. Kizárólag a legmagasabb besorolású célpontok esetében a támadás későbbi fázisaiban a támadók kiterjedt műholdas kommunikációs házatot használnak, amely segít elrejteni a nyomaikat.
A műholdas kommunikáció leginkább a televíziós műsorszórás és a biztonságos kommunikáció eszközeként ismert, de internet-szolgáltatáshoz is használják, főként olyan távoli helyeken, ahol az internet-hozzáférés más módszerei lassúak és megbízhatatlanok vagy egyáltalán nem érhetők el. Az egyik legelterjedtebb és legolcsóbb műhold alapú internetkapcsolat a „csak letöltés” (downstream-only) -hozzáférés.
Ebben az esetben a használó kimenő kérései hagyományos módon (vezetékes vagy GPRS-kapcsolaton) jutnak célba, az összes bejövő forgalom a műholdról érkezik. Ezzel a technológiával viszonylag gyors a letöltés, azonban van egy nagy hátránya: az összes beérkező forgalom kódoltalanul jut el a számítógépre. Bármely rosszindulatú használó olcsón megvásárolható berendezés és szoftver birtokában könnyedén kiszimatolhatja az internetforgalmat, és hozzáférhet minden adathoz, amelyet a többi használó ily módon tölt le.
A Turla csoport másképpen használja ki ezt a gyengeséget: segítségével rejti el a parancs és vezérlő (C&C) szerverei elhelyezkedését. Ezek a szerverek az egyik legfontosabb részei a rosszindulatú infrastruktúrának. A C&C szerver lényegében a megcélzott gépekre telepített rosszindulatú programok bázisaként szolgál. Egy ilyen szerver helyének felfedezése elvezetheti a nyomozókat a kiberkémkedést irányító hackerekhez.
A Turla-csoport ekként kerüli el ennek a kockázatát:
1. Acsoport először „belehallgat” a műholdas adatforgalomba, hogy azonosítsa a műholdas internetet éppen használók IP-címét.
2. Ezután kiválaszt egy online IP-címet, amely alá elrejtik a C&C szervert a használó tudta nélkül.
3. Ezután a Turla által megfertőzött gépek utasítást kapnak, hogy küldjenek adatokat a műholdas kapcsolatot igénybe vevő, kiválasztott felhasználók IP-címére. Az adat hagyományos utakon halad a műholdas internet-szolgáltatóhoz, majd felküldik a műholdra, végül a műholdról a kiválasztott IP-címekre.
A legális használó, akinek az IP-címét a támadók adatfogadásra használták a fertőzött gépekről, ugyancsak megkapja ezeket az adatcsomagokat, de szinte sosem veszi észre őket. Ez azért van, mert a Turla támadói utasítják a fertőzött gépeket, hogy olyan portokra küldjék az adatokat, amelyek az esetek többségében alapértelmezés szerint le vannak zárva. Így a számítógép egyszerűen eldobja ezeket a csomagokat, viszont a Turla C&C szervere, amely nyitva tartja ezeket a portokat, fogadja és feldolgozza a beérkező adatokat.
A Turla-taktika másik érdekessége, hogy közel-keleti és afrikai országok műholdas szolgáltatóit használja. A vizsgálatok során a Kaspersky Lab szakértői észrevették, hogy a Turla-csoport által használ IP-címek a többi között ezekben országokban találhatók: Kongó, Libanon, Líbia, Niger, Nigéria, Szomália és az Egyesült Arab Emírségek.
Az afrikai, közel-keleti országok szolgáltatói által használt rádióhullámok általában nem foghatók Európában és az észak-amerikai területeken, így is nehezítve a támadások kivizsgálását.
A Turla kiberkém-csoportról bővebben és a veszélyeztetettségi mutatók itt: Securelist.com
Így vizsgálják ki a bonyolult célzott támadásokat.
