Сотрудники Лаборатории Касперского, разбирая последствия поразившей ряд правительственных систем атаки Turla, обнаружили, что используемое для проведения данной атаки вредоносное ПО не ограничивалось платформой Windows, но и содержало компоненты для оставления бэкдора на системах с Linux.

При этом в отчёте представлена достаточно противоречивая информация. С одной стороны, утверждается, что троян для Linux оставался незамеченным несколько лет и обладал средствами скрытия от обнаружения. С другой стороны, говорится, что троян работает без необходимости получения привилегий root и реализован как пользовательский процесс. Суть защиты от обнаружения сводилась к тому, что он напрямую не открывал слушающие сокеты для приема управляющих запросов, а осуществлял скрытое отслеживание команды на пробуждение, осуществляя пассивный мониторинг трафика при помощи штатных функций библиотеки libpcap. При обнаружении в трафике ключа активации, создавался сетевой сокет для приёма управляющих команд.

К сожалению, не указано как организовывался запуск трояна в системе (в статье приводится пример запуска исполняемого файла от root, но утверждается, что троян работал от обычного пользователя), а именно как этому процессу удалось открыть raw-сокет для мониторинга трафика без привилегий root и без наличия capabilities-флага CAP_NET_RAW, установка которого также требует повышенных привилегий. Также непонятно, как троян долго мог оставаться незамеченным и был отнесён к категории «stealth backdoor» при наличии в файловой системе связанного с ним файла, отображении в списке процессов и наличии в списке владельцев raw-сокетов.