„Vienpusis“ palydovinis internetas paprastai naudojamas geografiškai nutolusiose vietose, kur nėra kitų galimybių prisijungti prie tinklo arba tai brangu, arba lėtas internetas. Pasirinkęs vienpusį sujungimą vartotojas siunčia savo užklausą antžeminiu kanalu (laidu arba GPRS), o atsakymą gauna iš palydovo. Šiuo atveju internetinis turinys atkeliauja gana greitai, bet jis perduodamas nešifruotu pavidalu. O tai reiškia, kad bet kas, turintis nebrangią įrangą ir kompiuterį, gali lengvai perimti duomenų srautą ir gauti prieigą prie visų duomenų, kuriuos parsisiunčia vartotojas.

Būtent šia silpna vieta ir pasinaudojo kibernetinė grupuotė „Turla“, kad paslėptų serverių, kuriais valdo atakas ir kuriuose saugo surinktus duomenis, vietą. Techniškai šis procesas atrodo taip: iš pradžių atakuojantieji „klausosi“ iš palydovo išeinančio srauto, kad nustatytų, kurie vartotojai, tiksliau, jų adresai, šiuo metu yra prisijungę prie interneto. Po to jie išsirenka IP adresą, kuris bus naudojamas jų serveriui maskuoti. Vėliau „Turla“ užkrėstiems kompiuteriams siunčia duomenų siuntimo į pasirinktą IP adresą komandas. Duomenys pereina per tradicinius kanalus ir pasiekia palydovinio interneto operatorių, o vėliau per palydovą patenka pas nieko neįtariantį vartotoją.

Pats vartotojas vargu ar pastebės, kad, be prašomo turinio, gavo kažko daugiau. Paprastai „Turla“ organizatoriai „instruktuoja“ užkrėstus kompiuterius siųsti duomenis į numatytuosius kompiuterio prievadus. Juos atvers būtent tas komandinis kontrolinis serveris, ir duomenų paketai pereis per jį.

Kaip išsiaiškino „Kaspersky Lab“, kibernetinė grupuotė „Turla“ dažniausiai naudojasi Artimuosiuose Rytuose ir Afrikoje dirbančiais tiekėjais. Bendrovės ekspertai nustatė, kad atakuojantieji siuntė duomenis IP adresais iš Afganistano, Libano, Kongo, Livijos, Nigerio, Nigerijos, Somalio ir Zambijos. Šiame regione veikiantys palydovai dažniausiai nedengia Europos ir Šiaurės Amerikos šalių, todėl neįmanoma atskleisti šių atakų – juk tuose regionuose nėra saugumo ekspertų.

„Mes jau susidūrėme su mažiausiai trimis skirtingomis grupuotėmis, kurios taip pat naudojosi palydoviniu internetu savo operacijoms užmaskuoti. Tačiau „Turla“ pasirinktas variantas yra įdomesnis. Savo taktika jie pasiekė maksimalaus anonimiškumo, taikydami plačiai paplitusias technologijas. Atakuojantieji gali būti bet kur, kadangi palydovo dengiama teritorija gali viršyti tūkstančius kvadratinių kilometrų. Taigi jų atsekti beveik neįmanoma“, – pasakoja Stefanas Tanase, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas.

Šias „Turla“ operacijas greičiausiai vykdo rusakalbiai organizatoriai. Iki šiol nuo šios kibernetinio šnipinėjimo kampanijos nukentėjo šimtai vartotojų daugiau nei iš 45 šalių, konkrečiai valstybinės ir diplomatinės įstaigos, karo, švietimo, tyrimo organizacijos, taip pat farmacinės bendrovės. Tarp pastaruoju metu labiausiai atakuojamų lyderių – Kazachstanas, Rusija, JAV, Kinija ir Vietnamas. „Kaspersky Lab“ apsaugos produktai aptinka ir blokuoja kenkėjišką „Turla“ atakose naudojamą programinę įrangą.