Ci sono molti gruppi di cybercriminali in azione nel mondo, ma alcuni sono un gradino sopra agli altri. Di solito si pensa che dietro a questi "super gruppi" ci siano delle organizzazioni governative e, guardando alle ultime scoperte di Kaspersky Lab, in alcuni casi il dubbio sembra lecito.
Uno di questi "super gruppi" è conosciuto con il nome di "Turla": organizzati e specializzati in attacchi mirati, hanno all'attivo un numero impressionante di infiltrazioni portate a termine con successo.
La cosa che, però, davvero li distingue dagli altri è il livello di anonimità che riescono a mantenere. Nessuno ha la più pallida idea di dove si trovino le loro basi operative né i server di comando e controllo che usano per le loro operazioni.
Nascondere un server di comando e controllo non è un'operazione semplice perché i client presenti sulle macchine infettate all'interno delle reti infiltrate non possono fare a meno di rivelare un IP al quale si connettono per ricevere ordini e inviare il risultato delle loro operazioni.
Eppure, qualsiasi indagine su questi indirizzi non porta a nulla nel caso degli attacchi di Turla: il risultato è sempre una macchina perfettamente lecita e addirittura non compromessa, all'interno di reti senza problemi di sicurezza.
In altre parole, l'indirizzo IP non corrisponde mai a quello del server di controllo. Ma come è possibile? Come possono i client inviare i dati da estrarre e ricevere nuovi ordini se gli IP con i quali comunicano non appartengono a macchine compromesse?