ESET, Rusya bağlantılı Gamaredon ve Turla arasındaki ilk iş birliğini ortaya çıkardı

Siber güvenlik şirketi ESET, Gamaredon ve Turla arasında bilinen ilk iş birliği vakalarını ortaya çıkardı. Her iki tehdit grubu da Rusya'nın ana istihbarat kurumu FSB ile bağlantılı ve birlikte Ukrayna'daki yüksek profilli hedefleri saldırıya uğrattı. Etkilenen makinelerde Gamaredon çok çeşitli araçlar kullanmış. Bu makinelerden birinde Turla, Gamaredon implantları aracılığıyla komutlar vermiş.

ESET, türünün ilk örneği olan bir keşifte, Gamaredon aracı PteroGraphin'in Ukrayna'daki bir makinede Turla grubunun Kazuar arka kapısını yeniden başlatmak için kullanıldığını gözlemledi. Daha yakın zamanda ESET, Turla'nın arka kapısının Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti. Turla'nın kurban sayısı, Gamaredon'un saldırılarının sayısına kıyasla çok düşük, bu da Turla'nın en değerli makineleri seçtiğini gösteriyor.

ESET araştırmacısı Matthieu Faou’nun Zoltán Rusnák ile yaptığı Turla ve Gamaredon iş birliği keşfine ilişkin açıklamada şunları söyledi: “Bu yıl içinde ESET, Ukrayna'daki yedi bilgisayarda Turla'yı tespit etti. Gamaredon binlerce olmasa da yüzlerce bilgisayarı tehlikeye attığı için bu durum Turla'nın yalnızca belirli bilgisayarlara, muhtemelen son derece hassas istihbarat içeren bilgisayarlara ilgi duyduğunu gösteriyor.” 

Şubat 2025'te ESET Research, Turla'nın Kazuar arka kapısının Gamaredon'un PteroGraphin ve PteroOdd tarafından Ukrayna'daki bir bilgisayarda çalıştırıldığını tespit etti. PteroGraphin, muhtemelen çöktükten veya otomatik olarak başlatılmadıktan sonra Kazuar v3 arka kapısını yeniden başlatmak için kullanıldı. Böylece PteroGraphin muhtemelen Turla tarafından bir kurtarma yöntemi olarak kullanıldı. Bu, teknik göstergeler aracılığıyla bu iki grubu birbirine bağlayabilen ilk örnek. Nisan ve Haziran 2025'te ESET, Kazuar v2'nin Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti.

Kazuar v3, Kazuar ailesinin en son dalı ve ESET'in yalnızca Turla tarafından kullanıldığına inandığı gelişmiş bir C# casusluk implantı; ilk kez 2016 yılında görüldü. Gamaredon tarafından dağıtılan diğer kötü amaçlı yazılımlar PteroLNK, PteroStew ve PteroEffigy idi.

Rusnák ise yaptığı açıklamada: "Gamaredon, çıkarılabilir sürücülerde spearphishing ve kötü amaçlı LNK dosyaları kullanmasıyla bilinir, bu nedenle bunlardan biri en olası tehlike vektörüydü. Her iki grubun da – ayrı ayrı FSB ile bağlantılı – iş birliği yaptığına ve Gamaredon'un Turla'ya ilk erişimi sağladığına inanıyoruz" dedi.

Daha önce de belirtildiği gibi, her ikisi de Rus FSB'nin bir parçası. Ukrayna Güvenlik Servisi'ne göre, Gamaredon'un FSB'nin karşı istihbarat servisinin bir parçası olan Kırım'daki FSB'nin 18. Merkezi (diğer adıyla Bilgi Güvenliği Merkezi) görevlileri tarafından işletildiği düşünülüyor., Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Turla’yı Rusya'nın ana sinyal istihbarat ajansı olan FSB'nin 16. Merkezi'ne atfediyor.

Organizasyonel açıdan, Turla ve Gamaredon ile sıkça ilişkilendirilen bu iki kuruluşun, Soğuk Savaş dönemine kadar uzanan uzun bir iş birliği geçmişi olduğunu belirtmek gerekir. 2022'de Ukrayna'nın tam ölçekli işgali, bu yakınlaşmayı muhtemelen daha da güçlendirmiştir. ESET verileri, Gamaredon ve Turla'nın son aylarda Ukrayna savunma sektörüne odaklandığını açıkça göstermektedir. 

Gamaredon en az 2013 yılından beri faal durumda. Çoğunlukla Ukrayna devlet kurumlarına yönelik birçok saldırıdan sorumlu. Snake olarak da bilinen Turla, en az 2004 yılından beri faal olan, muhtemelen 1990'ların sonlarına kadar uzanan, kötü şöhretli bir siber casusluk grubudur. Grup, ağırlıklı olarak Avrupa, Orta Asya ve Orta Doğu'daki hükümetler ve diplomatik kuruluşlar gibi yüksek profilli hedefleri hedef alıyor. 2008'de ABD Savunma Bakanlığı ve 2014'te İsviçreli savunma şirketi RUAG gibi büyük kuruluşların sistemlerine sızmasıyla tanınıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Haber Kaynağı : BEYAZ