Symantec suit les activités du groupe derrière Turla depuis plusieurs années et, compte tenu du choix des cibles et de la nature avancée du malware, pense que ce groupe aurait le soutien d’un État.

Ce qu’il faut savoir de Turla :

· Cette combinaison de malwares, s’appuyant sur Trojan.Wipbot comme outil de reconnaissance et Trojan.Turla comme présence à long terme sur l’ordinateur de la victime, semble avoir été utilisée dans des opérations classiques de cyber espionnage pendant au moins les 4 dernières années ;

· Les attaquants utilisent des méthodes plus ou moins avancés pour infecter leurs victimes. Par exemple, la technique du trou d’eau (« watering hole ») est configurée pour n’attaquer que certaines victimes utilisant un type précis d’adresse IP (exemple : les employés d’une même organisations) ;

· Il réunit les caractéristiques d’une campagne soutenue par un État et semble être largement utilisé pour cibler les gouvernements ;

· Cette campagne est l’œuvre d’un groupe bien équipé au niveau des ressources et technologies, et compétent, capable de passer au travers des protections réseau. Depuis septembre 2012, il a compromis au moins 84 sites web légitimes pour faciliter les attaques de type trou d’eau.