Recent, cercetătorii în securitate cibernetică au observat o colaborare între două dintre cele mai active unități de hacking ale Kremlinului în atacuri malware, care au vizat dispozitive de înaltă valoare din Ucraina. Aceste grupuri, Turla și Gamaredon, sunt recunoscute pentru operațiunile lor sofisticate și sunt considerate a fi unități ale Serviciului Federal de Securitate al Rusiei (FSB), principala agenție de securitate a țării și succesoarea KGB-ului sovietic.
Turla, cunoscută pentru abilitățile sale avansate și operațiuni îndelungate, este implicată în atacuri meticulos direcționate și menține un profil discret. Această grupare a fost identificată ca fiind responsabilă de atacuri împotriva Departamentului Apărării din SUA în 2008 și, mai recent, a Ministerului Afacerilor Externe din Germania și a armatei franceze. De asemenea, Turla a fost implicată în dezvoltarea de malware pentru sisteme Linux și utilizarea legăturilor internet bazate pe satelit pentru a-și păstra operațiunile ascunse.
Pe de altă parte, Gamaredon este cunoscut pentru campaniile sale de amploare, vizând frecvent organizații din Ucraina. Spre deosebire de Turla, Gamaredon nu pare să se preocupe de faptul că operațiunile sale sunt detectate și asociate cu guvernul rus. Malware-ul său are ca scop colectarea rapidă și vastă de informații de la țintele atacate.
Firma de securitate ESET a raportat vineri că a detectat instalarea simultană a malware-ului celor două grupuri pe multiple dispozitive în ultimele luni. Cercetătorii companiei consideră că este posibil ca Turla să fi preluat controlul infrastructurii Gamaredon, similar cu un eveniment din 2019 în care grupul a preluat controlul unei platforme de atac aparținând unui APT rival din Iran. De asemenea, anul trecut, Turla a preluat infrastructura a două grupuri de hackeri cu motivații financiare, într-o campanie ce viza dispozitive conectate la Starlink în Ucraina.
Totuși, ipoteza cea mai plauzibilă a ESET este că Turla și Gamaredon au colaborat activ. „Având în vedere că ambele grupuri fac parte din FSB rusesc, deși în centre diferite, Gamaredon a oferit acces operatorilor Turla pentru a emite comenzi pe o mașină specifică pentru a reporni Kazuar și pentru a desfășura Kazuar v2 pe alte câteva,” a declarat compania.
Postarea de vineri a menționat de asemenea că Gamaredon a colaborat anterior cu alte grupuri de hackeri, în special în 2020 cu un grup urmărit de ESET sub numele de InvisiMole.
În februarie, cercetătorii ESET au identificat patru co-compromisuri distincte Gamaredon-Turla în Ucraina. Pe toate dispozitivele, Gamaredon a desfășurat o gamă largă de unelte, inclusiv cele sub denumirile PteroLNK, PteroStew, PteroOdd, PteroEffigy și PteroGraphin, în timp ce Turla a instalat versiunea 3 a software-ului său proprietar.
Poll: Care este opinia ta cu privire la colaborarea activă dintre grupurile de hacking Turla și Gamaredon?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply