„Hlavní škodlivou činností je exfiltrace dokumentů a dalších citlivých souborů. Sofistikovanost útoků a technické detaily nás utvrzují v tom, že skupina Turla má značné prostředky na provozování tak velkého a rozmanitého arzenálu,“ popisuje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. „Crutch je navíc schopen obejít některé vrstvy zabezpečení tím, že zneužije legitimní infrastrukturu – v tomto případě Dropbox – aby mohl splynout s běžným síťovým provozem, a přitom exfiltrovat odcizené dokumenty a přijímat příkazy od operátorů. “

Útoky probíhaly pravděpodobně z východní Evropy

Při zkoumání malware se analytici pokoušejí také zjistit maximum o útočnících. Mimo jiné, odkud útočí, nejčastěji se to určuje podle pracovní doby operátorů. Výzkumníci proto zjišťovali speciálně ty hodiny, kdy útočníci nahrávali soubory ZIP na účty v úložišti Dropbox. Celkově shromáždili 506 různých časových razítek v rozmezí od října 2018 do července 2019. Toto množství dat by mělo eliminovat časy, kdy byly aktivní jen zařízení obětí. Z nasbíraných údajů plyne, že provozovatelé pravděpodobně budou pracovat v časovém pásmu UTC + 3 (tedy v regionu východní Evropy či Blízkého východu).

Výzkum společnosti ESET dokázal identifikovat silné vazby mezi malwarem, který stahuje Crutch, z roku 2016 a Gazerem, tedy typem malware, který Turla používala v letech 2016 až 2017.

Turla je aktivní kybernetickou špionážní skupinou operující více než 10 let. Dokázala kompromitovat řadu vlád, obzvláště diplomatických subjektů, po celém světě. Skupina využívá rozsáhlý arzenál různých typů malware. ESET soustavně dokumentuje její aktivity. (Jmenovitě lze uvést například malware Gazer, Mosquito, Light Neuron.)