Ci sono molti gruppi di cybercriminali in azione nel mondo, ma alcuni sono un gradino sopra agli altri. Di solito si pensa che dietro a questi "super gruppi" ci siano delle organizzazioni governative e, guardando alle ultime scoperte di Kaspersky Lab, in alcuni casi il dubbio sembra lecito.

Uno di questi "super gruppi" è conosciuto con il nome di "Turla": organizzati e specializzati in attacchi mirati, hanno all'attivo un numero impressionante di infiltrazioni portate a termine con successo.

La cosa che, però, davvero li distingue dagli altri è il livello di anonimità che riescono a mantenere. Nessuno ha la più pallida idea di dove si trovino le loro basi operative né i server di comando e controllo che usano per le loro operazioni.

Nascondere un server di comando e controllo non è un'operazione semplice perché i client presenti sulle macchine infettate all'interno delle reti infiltrate non possono fare a meno di rivelare un IP al quale si connettono per ricevere ordini e inviare il risultato delle loro operazioni.

Eppure, qualsiasi indagine su questi indirizzi non porta a nulla nel caso degli attacchi di Turla: il risultato è sempre una macchina perfettamente lecita e addirittura non compromessa, all'interno di reti senza problemi di sicurezza.

In altre parole, l'indirizzo IP non corrisponde mai a quello del server di controllo. Ma come è possibile? Come possono i client inviare i dati da estrarre e ricevere nuovi ordini se gli IP con i quali comunicano non appartengono a macchine compromesse?