Siber güvenlik firması ESET, Rusya bağlantılı iki tehdit grubu Gamaredon ve Turla arasında bilinen ilk iş birliği vakalarını ortaya çıkardı. Her iki grup da Rusya'nın ana istihbarat kurumu FSB ile ilişkilendiriliyor ve birlikte Ukrayna'daki kritik hedeflere saldırılar düzenledi. Etkilenen sistemlerde Gamaredon çeşitli araçlar kullanırken, Turla bu sistemlerde Gamaredon implantları üzerinden komutlar verdi.
ESET, türünün ilk örneği olan bir keşifte, Gamaredon'un PteroGraphin aracının Ukrayna'daki bir bilgisayarda Turla'nın Kazuar arka kapısını yeniden başlatmak için kullanıldığını gözlemledi. Ayrıca Turla'nın arka kapısı, Gamaredon'un PteroOdd ve PteroPaste araçlarıyla dağıtıldı. Turla'nın hedeflediği sistem sayısı, Gamaredon'un saldırdığı sistemlere kıyasla oldukça az; bu da Turla'nın yalnızca yüksek değerli hedeflere odaklandığını gösteriyor.
ESET araştırmacısı Matthieu Faou ve Zoltán Rusnák, Turla ve Gamaredon iş birliğiyle ilgili olarak, "Bu yıl içinde ESET, Ukrayna'da yedi bilgisayarda Turla'yı tespit etti. Gamaredon ise yüzlerce bilgisayarı etkilediği için Turla'nın sadece kritik öneme sahip sistemlere yöneldiği anlaşılıyor" dedi.
Şubat 2025'te ESET, Turla'nın Kazuar arka kapısının Gamaredon'un PteroGraphin ve PteroOdd araçlarıyla Ukrayna'daki bir sistemde çalıştırıldığını belirledi. PteroGraphin, Kazuar v3 arka kapısını çöktükten sonra veya otomatik başlatılamadığında yeniden başlatmak için kullanıldı; bu da Turla'nın bu aracı bir kurtarma yöntemi olarak kullandığını gösteriyor. Nisan ve Haziran 2025'te ise Kazuar v2, Gamaredon'un PteroOdd ve PteroPaste araçlarıyla dağıtıldı.
Kazuar v3, Kazuar ailesinin en yeni versiyonu olup, ESET'e göre yalnızca Turla tarafından kullanılan gelişmiş bir C# casusluk implantıdır ve ilk kez 2016'da tespit edilmiştir. Gamaredon tarafından dağıtılan diğer kötü amaçlı yazılımlar arasında PteroLNK, PteroStew ve PteroEffigy yer almaktadır.
Zoltán Rusnák, "Gamaredon, çıkarılabilir sürücülerde spearphishing ve kötü amaçlı LNK dosyaları kullanmasıyla bilinir; bu nedenle bu yöntemler en olası tehdit vektörleridir. Her iki grubun da, ayrı ayrı FSB ile bağlantılı olmalarına rağmen iş birliği yaptığına ve Gamaredon'un Turla'ya ilk erişimi sağladığına inanıyoruz" ifadelerini kullandı.
Her iki grup da Rus FSB'nin bir parçası olarak kabul ediliyor. Ukrayna Güvenlik Servisi'ne göre Gamaredon, Kırım'daki FSB'nin 18. Merkezi (Bilgi Güvenliği Merkezi) tarafından yönetiliyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi ise Turla'yı FSB'nin 16. Merkezi'ne bağlıyor.
Organizasyonel olarak Turla ve Gamaredon ile ilişkilendirilen bu iki FSB biriminin, Soğuk Savaş dönemine kadar uzanan uzun bir iş birliği geçmişi bulunuyor. 2022'deki Ukrayna işgali ise bu iş birliğini muhtemelen daha da güçlendirdi. ESET verileri, her iki grubun da son aylarda Ukrayna savunma sektörüne odaklandığını gösteriyor.
Gamaredon, en az 2013 yılından beri aktif olup, çoğunlukla Ukrayna devlet kurumlarına yönelik saldırılarla biliniyor. Turla (diğer adıyla Snake) ise 2004'ten beri faaliyet gösteren, kökenleri 1990'ların sonlarına kadar uzanan ünlü bir siber casusluk grubudur. Turla, Avrupa, Orta Asya ve Orta Doğu'daki hükümetler ve diplomatik kurumları hedef alıyor; 2008'de ABD Savunma Bakanlığı ve 2014'te İsviçreli savunma şirketi RUAG gibi büyük kuruluşların sistemlerine sızmasıyla tanınıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
