2年前に検出された、「Wipbot」や「Turla」と呼ばれるマルウェアは、旧東側諸国の政府機関や大使館をスパイしていた。背景や攻撃手法などをSymantecが解析した。
攻撃者は当初、バックドア型の「Trojan.Wipbot(別名Tavdig)」で偵察活動を始め、その後「Trojan.Turla(別名Uroboros、Snake、Carbon)」を使った長期的な監視活動にシフトした。この組み合わせで少なくとも4年間、典型的なスパイ活動があったという。選ばれた標的の特徴とマルウェアに使われた高度な技術から、攻撃活動の背後には国家が支援しているグループが存在すると考えられるとしている。
Turlaは強力なスパイ機能を備えており、コンピュータに合わせて起動するように設定されている。ユーザーがブラウザを立ち上げるとバックドアを開き、攻撃者との通信を有効にするという。攻撃者は、感染したコンピュータからこのバックドアを介し、ファイルのコピー、サーバへの接続、ファイルの削除、他のマルウェアのロードと実行などが可能としている。
Turlaの背後にいるグループは2段階の攻撃戦略を用いており、スピア型のフィッシングメールや水飲み場型攻撃を使って感染させる。水飲み場型攻撃では、極めて限定された正規のウェブサイトを侵害して、事前に指定したIPアドレス範囲からアクセスした標的のみにマルウェアを配布する。侵害されたウェブサイトから配布されたTrojan.WipbotがTurlaをダウンロードして標的に配布している可能性が極めて高いという。
当初、この感染は欧州諸国で拡散しているように見えたが、詳細な分析の結果、西欧圏での感染の多くは、かつてのソ連など旧東側諸国の政府機関のネットワークに接続されているコンピュータで発生していると判明した。感染は、これらの国の大使館で発生したとみられるという。
感染を分析したところ、攻撃はいくつかの特定の国に集中しており、2012年5月には、旧ソ連構成国の首相事務局で発生した感染が広がり、最大60台のコンピュータが侵害されたと説明している。
2012年末に別の旧ソ連構成国の在仏大使館で発生した感染は、2013年になると同国外務省のネットワークに接続されたコンピュータに拡散を開始し、さらに内務省にも感染を広げた。調査を進めたところ、同国の外交活動を標的とした組織的なスパイ活動が発覚した。ベルギー、ウクライナ、中国、ヨルダン、ギリシア、カザフスタン、アルメニア、ポーランド、ドイツの大使館でも感染が確認されたという。
同じ地域内で、少なくとも5カ国が同様の攻撃の標的となっていた。攻撃者の狙いは主に旧東側諸国だが、西欧の保健省、中米の教育省、中東の電力関連機関、米国の医療機関など、他の標的もいくつか確認されているとしている。
