Su primera aparición no fue para nada importante y el número de equipos infectados fue bastante poco representativo. Sin embargo, en esta segunda oportunidad el malware está creando una gran cantidad de problemas y abarcando también una buena cantidad de usuario Linux. Turla está programado para robar información de los equipos de los usuarios, sobre todo contraseñas que se encuentren almacenadas en este.
Los expertos de seguridad lo describen como un rootkit que resulta bastante complicado de detectar y a modo de curiosidad decir que hay algunas copias que han permanecido «suspendidas» en equipos Linux durante al menos 4 años, algo que ha sorprendido y mucho a los investigadores que se han dedicado a analizar sus características. Confirman que su origen se encuentra en tierras rusas y que en un principio era un troyano que afectaba a equipos Windows, aprovechando vulnerabilidades zero-day. Sin embargo, es probable que el malware haya cambiado de dueños y estos hayan decidido realizar un enfoque distinto en lo referido a sus utilización.
La cartera de usuarios es muy importante, de ahí que Windows sea el sistema que más amenazas sufre a lo largo de un año. Sin embargo, la presencia de Linux es más notoria en comparación a años anteriores, sobre todo si hablamos de servidores, siendo este uno de los principales motivos que ha provocado que los ciberdelincuentes también centren sus esfuerzos en estos dispositivos.
Turla solo se activa cuando los ciberdelincuentes envían lo paquetes «mágicos»
Con un funcionamiento similar al WOL de equipos, los ciberdelincuentes eligen en qué momento quieren que el troyano comience a desempeñar sus funciones enviando paquetes con combinaciones que indican cuáles son las tareas. También utiliza cifrado para establecer comunicaciones con el servidor de control. Los expertos en seguridad que en la muestra de Turla que han analizado han encontrado módulos relacionados con el Servicio de Inteligencia del gobierno estadounidense, indicando según estos que en un principio casi con total seguridad se utilizaba para espiar a los usuarios y empresas con cierto renombre, y que posteriormente cayó en manos de ciberdelincuentes rusos y así hasta llegar al día de hoy.
En concreto, Agent.Biz es el módulo que se identificó como parte de un programa de seguridad del Departamento de Defensa estadounidense.