Turla, một loại mã độc tinh vi, đang âm thầm ảnh hưởng đến hàng trăm máy tính chính phủ khắp châu Âu và Mỹ.
Một số quan chức tình báo và chuyên gia an ninh phương Tây tin rằng, Turla là sản phẩm của chính phủ Nga và có liên quan đến loại phần mềm nguy hiểm Agent.BTZ được dùng để khai thác lỗ hổng quan trọng trong quân đội Mỹ năm 2008. Nó còn dính dáng đến vụ tấn công mạng lừng danh khác có tên Red October nhằm vào mạng lưới nghiên cứu hạt nhân, quân đội, ngoại giao.
Những phỏng đoán này dựa trên cơ sở phân tích phương thức tấn công cùng các chỉ sỗ kỹ thuật và nạn nhân của mã độc. Theo Jim Lewis, cựu quan chức ngoại giao Mỹ, hiện là cố vấn cao cấp tại Trung tâm Chiến lược và Nghiên cứu quốc tế, “dấu vết của Nga có mặt khắp nơi”. Tuy nhiên, các chuyên gia cảnh báo dù có cơ sở cho biết Turla có nguồn gốc từ Mỹ, rất khó để xác nhận nghi ngờ trừ phi Matxcova lên tiếng thừa nhận trách nhiệm. Lập trình viên thường áp dụng nhiều biện pháp để che giấu hành tung của mình.
Theo các chuyên gia về tấn công mạng, tin tặc Nga nổi tiếng với tính kỷ luật cao, tinh thông trong việc ẩn thân, đặc biệt hiệu quả khi duy trì kiểm soát mạng lưới nhiễm độc và thường “kén chọn” hơn khi xem xét mục tiêu tấn công hơn là các “đồng nghiệp” Trung Quốc.
Turla đã bị các hãng bảo mật để ý vài năm gần đây. Symantec ước tính 1.000 mạng lưới đã bị Turla và Agent.BTZ làm ảnh hưởng, phần lớn là máy tính chính phủ. Công ty an ninh BAE cho biết đã thu thập được hơn 100 mẫu Turla khác nhau kể từ năm 2010, bao gồm 32 từ Ukraine, 11 từ Lithuania, 4 từ Anh.
Tin tặc dùng Turla để thiết lập vị trí mật bên trong mạng lưới để tìm kiếm các máy tính khác, lưu trữ thông tin đánh khắp rồi chuyển dữ liệu về lại máy chủ. Tính tinh vi của hoạt động gợi ý nó phải được một chính phủ hỗ trợ. Theo Jaime Blasco, Giám đốc AlienVault Labs, Turla giống một chương trình gián điệp hơn mà mã độc bình thường.
Tin tặc dùng nhiều máy chủ C&C đặt tại các quốc gia khác nhau để lây nhiễm hệ thống máy tính. Mã Turla thường xuyên được cập nhật, bao gồm cả thay đổi để chống bị phát giác bởi các chương trình diệt virus. Thậm chí, trong vài trường hợp khi máy chủ C&C ngoại tuyến, bọn tấn công có thể nhanh chóng tung ra phiên bản mã độc mới để hướng máy tính nhiễm độc sang máy chủ C&C mới.