Pri vyšetrovaní kybernetickej špionáže Turla prišli experti spoločnosti Kaspersky Lab na to, ako sa vyhýba odhaleniu svojich aktivít a polohy. Kyberzločinci sofistikovane zneužili nedostatky v zabezpečení globálnych satelitných sietí, aby zamaskovali svoje stopy a zostali tak v anonymite.
Turla je sofistikovaná kybernetická špionážna skupina, ktorá je aktívna už viac ako 10 rokov. Útočníci, ktorí za ňou stoja, nainfikovali stovky počítačov vo viac ako 45 krajinách vrátane Kazachstanu, Ruska, Číny, Vietnamu a USA. Medzi infikované organizácie patria vládne inštitúcie a ambasády, armády, ale aj vzdelávacie, výskumné a farmaceutické spoločnosti. Kyberšpionážna skupina si najprv pomocou backdooru Epic zisťuje informácie o infikovanom počítači a starostlivo si vyberá profil svojej obete. Potom v nasledujúcich fázach útoku v prípade významných osôb útočníci použijú zložitý mechanizmus využitím satelitnej komunikácie, vďaka čomu dokonale zamaskujú svoje stopy.
Satelitná komunikácia sa bežne spája najmä s televíznym vysielaním a bezpečnou komunikáciou; ale rovnako sa satelit používa aj na poskytovanie prístupu na internet. V tomto prípade sú odchádzajúce požiadavky z počítača používateľa posielané cez bežne používané internetové pripojenia (pevné, alebo mobilné siete), pričom všetky prichádzajúce dáta prechádzajú cez satelit. Satelitná technológia internetu umožňuje používateľovi prístup k relatívne rýchlemu sťahovaniu dát, ale veľkou nevýhodou je hlavne to, že všetky údaje sa do počítača vracajú nešifrované. Tým pádom, každý náhodný používateľ s dostupným vybavením a softvérom tak môže jednoducho zachytiť prenos dát a získať prístup k dátam, ktoré používatelia cez satelit sťahujú.
Zaujímavé pri taktike skupiny Turla je aj to, že zvyknú používať poskytovateľov satelitného internetového pripojenia na Blízkom Východe a v Afrike. Spoločnosť Kaspersky Lab v rámci vyšetrovania zaznamenala IP adresy operátorov v krajinách ako Kongo, Libanon, Líbya, Nigéria, Somálsko a Spojené Arabské Emiráty. Satelitné vysielanie používané operátormi v týchto krajinách zvyčajne nepokrývajú európske a americké teritóriá, vďaka čomu sa spomínané útoky len veľmi ťažko vyšetrujú.
Riešenia spoločnosti Kaspersky Lab úspešne odhalia a zablokujú malvér Backdoor.Win32.Turla.*, Rootkit.Win32.Turla.*, HEUR:Trojan.Win32.Epiccosplay.gen, HEUR:Trojan.Win32.Generic používaný skupinou Turla. O mechanizme zneužívania satelitného internetu, ktoré používa špionážna skupina Turla, sa viac dočítate na blogu Securelist.com