Untersuchungen der Sicherheitsforscher von ESET zufolge haben die Hacker von Turla nicht nur die bereits im März öffentlich bekanntgewordene Attacke auf das Netzwerk des Auswärtigen Amtes durchgeführt: Zwei weitere Behörden in EU-Staaten sind demnach ebenso betroffen wie auch ein schweizerischer Rüstungskonzern. In allen Fällen konnten die Angreifer Zugriff auf sensible Rechnernetze erhalten.
Die von den Angreifern genutzte Hintertür lässt sich per PDF-Dokument auf dem Zielrechner einschleusen, das unter Umständen auch ohne Nutzerinteraktion von Outlook geöffnet wird. Das Skript führt dann auf dem System Befehle aus, die den Angriff ermöglichen und den Computer kompromittieren. Da die neueste Version der bereits seit 2009 benutzten Malware-Skripte direkt im RAM ausführt, lässt sie sich auch nicht mehr länger auf der Festplatte nachweisen.
Das macht die Aktivitäten der Hacker für Sicherheitsforscher nur sehr schwer nachvollziehbar und abwehrbar. Die Steuerung geschieht per E-Mail und die nötige Software ist maßgeschneidert und einzigartig.
Turla/Snake/Uroboros ist als Advanced Persistent Threat klassifiziert und bereits seit 2008 aktiv. Theorien zufolge stehen die Hacker mit dem russischen Geheimdienst FSB in Verbindung. Sie hat bislang Regierungen, Staatsbeamte, Diplomaten, Militäreinrichtungen und Rüstungskonzerne angegriffen. Schon bei Kampagnen gegen osteuropäische Diplomaten zeigte die Gruppe komplexe Angriffsmethoden, die schwer zu entdecken waren.
