Największe hakerskie grupy Kremla — Turla i Gamaredon — współpracują w cyberatakach na Ukrainę

Viktor Tsyrfa
19.09.2025, 22:16
Największe hakerskie grupy Kremla — Turla i Gamaredon — współpracują w cyberatakach na Ukrainę
Ilustracyjne zdjęcie. Źródło: welivesecurity.com

Według badaczy z firmy ESET, dwie najaktywniejsze rosyjskie grupy hakerskie — Turla i Gamaredon — ostatnio były zauważane w wspólnych operacjach mających na celu kompromitację urządzeń w Ukrainie. Obie grupy są powiązane z Federalną Służbą Bezpieczeństwa Rosji (FSB), chociaż należą do różnych jej centrów.

Turla — jedna z najtrudniejszych grup APT na świecie, znana z precyzyjnych ataków na cele wysokiego profilu, w tym na Departament Obrony USA (2008), Ministerstwo Spraw Zagranicznych Niemiec i struktury wojskowe Francji. Używa ukrytego złośliwego oprogramowania dla systemu Linux, a nawet tunelowania ruchu przez satelitarne połączenia internetowe w celu ukrycia aktywności.

Gamaredon, przeciwnie, działa na dużą skalę, często masowo atakując ukraińskie organizacje. Jej narzędzia są mniej wyrafinowane, ale szybko gromadzą ogromne ilości danych. Grupa nie ukrywa połączeń z rosyjską władzą i nie stara się ukrywać śladów swojej działalności.

Według ESET, w ciągu ostatnich kilku miesięcy na kilku urządzeniach wykryto jednoczesną obecność złośliwego oprogramowania obu grup, co wskazuje na techniczną interakcję. Co więcej, Turla używała narzędzi Gamaredon do ponownego uruchamiania własnego oprogramowania Kazuar oraz do wdrażania nowej wersji Kazuar v2. To pierwszy przypadek, w którym badacze byli w stanie technicznie powiązać te dwie grupy.

ESET rozważa także alternatywną wersję — Turla mogła przejąć infrastrukturę Gamaredon, jak miało to miejsce już w 2019 roku z irańską grupą APT. Jednak główna hipoteza to wspólna operacja, w której Gamaredon zapewnia masowe zarażenie, a Turla selektywnie pracuje z najcenniejszymi celami.

W lutym, kwietniu i czerwcu 2025 roku ESET zarejestrowała co najmniej cztery przypadki wspólnego zarażenia. Gamaredon używała zestawu narzędzi PteroLNK, PteroStew, PteroOdd, PteroEffigy oraz PteroGraphin, podczas gdy Turla — Kazuar v3. W każdym przypadku oprogramowanie ESET zostało zainstalowane dopiero po zainfekowaniu, więc identyfikacja „ładunku użytecznego” narzędzia Turla była niemożliwa. W niektórych przypadkach Turla wydawała polecenia przez implanty Gamaredon, co potwierdza głęboką integrację.

Zdaniem ESET, taka współpraca świadczy o koordynacji pomiędzy jednostkami FSB, gdzie Gamaredon zapewnia dostęp do dużej liczby maszyn, a Turla koncentruje się na tych, które zawierają szczególnie wrażliwe informacje.

Źródło: arstechnica.com
var _paq = window._paq = window._paq || []; _paq.push(['trackPageView']); _paq.push(['enableLinkTracking']); (function() { var u='//mm.magnet.kiev.ua/'; _paq.push(['setTrackerUrl', u+'matomo.php']); _paq.push(['setSiteId', '2']); var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0]; g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s); })();