Os pesquisadores da Kaspersky Lab passaram dez meses monitorando e analisando uma enorme operação de ciberespionagem, batizada pela empresa com o nome de “Epic Turla”. Os atacantes, conforme publicado pela Kaspersky, infectaram centenas de computadores em mais de 45 países, incluindo muitos em instituições governamentais, militares, de pesquisa & desenvolvimento, embaixadas, escolas, empresas farmacêuticas.
Embora entidades militares e governamentais sejam alvo comum para ciberespiões, a atividade do Epic Turla indica um interesse muito especial pela indústria farmacêutica. Duas das campanhas de espionagem recentemente descobertas – MiniDuke e Crouching Yeti / Energetic Bear – também estão monitorando empresas nesse setor. O país mais infectado é a França, vindo em seguida os EUA (veja o gráfico).
As vítimas são infectadas através de um sofisticado ataque multi-fase, que começa com o malware Epic Turla. Com o tempo, se os atacantes tiverem certeza de sucesso, atualizam a infecção com backdoors mais complexos, como o sistema Carbon / Cobra. Às vezes, os dois backdoors são executados em conjunto, um sendo usado para “salvar” o outro se a comunicação de um deles for perdida.