Το κακόβουλο λογισμικό, γνωστό ως Turla, είναι ένα «rootkit» που κρύβεται στα μολυσμένα συστήματα και επιτρέπει στους δημιουργούς του να εγκαθιστούν και να εκτελούν εργαλεία υποκλοπής και κατασκοπείας κατά περίπτωση.«Είναι προηγμένο κακόβουλο λογισμικό που σχετίζεται με άλλες ρωσικές κυβερνοεπιθέσεις, χρησιμοποιεί κρυπτογράφηση και βάζει στο στόχαστρο Δυτικές κυβερνήσεις. Είναι γεμάτο με ρωσικά δακτυλικά αποτυπώματα» δήλωσε στο Reuters ο Τζιμ Λιούις, πρώην αξιωματούχος του Στέιτ Ντιπάρτμεντ και νυν στέλεχος του Κέντρου Στρατηγικών και Διεθνών Μελετών στην Ουάσινγκτον.Στη Βρετανία, η BAE Systems Applied Intelligence, θυγατρική του ομίλου αμυντικών συστημάτων BAE, ανακοίνωσε ότι μέχρι σήμερα έχει συγκεντρώσει 100 «μοναδικά δείγματα» του κακόβουλου λογισμικού, στα οποία περιλαμβάνονται 32 από την Ουκρανία, 11 από τη Λιθουανία, 4 από τη Βρετανία και λιγότερα από άλλες χώρες.Στην πραγματικότητα όμως το εύρος των επιθέσεων πρέπει να είναι πολύ μεγαλύτερο. Σύμφωνα με ειδικούς που επικαλείται το πρακτορείο Reuters, το Turla μοιάζει να είναι μια αναβαθμισμένη έκδοση του ιού Agent.BTZ, ο οποίος χρησιμοποιήθηκε σε κυβερνοεπίθεση εναντίον του Πενταγώνου που αποκαλύφθηκε το 2008.Σύμφωνα με την εταιρεία ασφάλειας υπολογιστών Kaspersky Labs, το Turla σχετίζεται επίσης με τη διεθνή επιχείρηση κυβερνοκατασκοπείας «Κόκκινος Οκτώβρης», η οποία αποκαλύφθηκε στις αρχές του 2013 από την Kaspersky.Η εταιρεία ασφάλειας υπολογιστών Symantec εκτιμά ότι έως και 1.000 δίκτυα έχουν μολυνθεί είτε από το Turla είτε από το Agent.BTZ. Δεν κατονομάζει τους στόχους, λέει όμως ότι οι περισσότεροι είναι κυβερνητικοί υπολογιστές.
Ο ‘Ερικ Τσιεν της Symantec περιγράφει το Turla ως «εξέλιξη του Agent.BTZ». Σύμφωνα με την φινλανδική εταιρεία ασφάλειας F-Secure, το Agent.BTZ είχε ανακαλυφθεί για πρώτη φορά το 2008 στο στρατιωτικό δίκτυο ευρωπαϊκής χώρας του NATO.
Όλες οι παραπάνω εταιρείας ασφάλειας υπολογιστών εκτιμούν ότι η τεχνική πολυπλοκότητα και τα χαρακτηριστικά του προγράμματος δείχνουν πως πρόκειται για δημιούργημα κρατικής υπηρεσίας.
Το Turla παρακολουθείται σιωπηλά εδώ και δύο χρόνια, έρχεται όμως τώρα στο προσκήνιο έπειτα από έκθεση της γερμανικής εταιρείας G Data, η οποία ονομάζει το πρόγραμμα «ουροβόρο», μια λέξη που υπάρχει στον κώδικα και παραπέμπει στο μυθικό φίδι που τρώει την ουρά του.
Η G Data αναφέρει ότι το Turla έχει «ρωσικές» ρίζες, αρνήθηκε όμως να αποκαλύψει ποιοι ήταν οι στόχοι.
Ο Μίκο Χαϊπόνεν της F-Secure, το Turla «φαίνεται να είναι ρωσικό, αλλά δεν υπάρχει τρόπος να βεβαιωθούμε».
Το ίδιο τόνισαν άλλοι ερευνητές ασφάλειας -ο μόνος τρόπος να επιβεβαιωθούν οι υποψίες θα ήταν να αναλάβει ευθέως η Μόσχα την ευθύνη.
Η ρωσική υπηρεσία πληροφοριών FSB αρνήθηκε πάντως να σχολιάσει το θέμα στο Reuters. Το ίδιο έκαναν αξιωματούχοι του Πενταγώνου και του υπουργείου Εξωτερικής Ασφάλειας.
