Ілюстративне зображення. Джерело: welivesecurity.com
За даними дослідників компанії ESET, дві найактивніші російські хакерські групи — Turla та Gamaredon — останнім часом були помічені у спільних операціях, спрямованих на компрометацію пристроїв в Україні. Обидві групи пов’язані з Федеральною службою безпеки росії (ФСБ), хоча належать до різних її центрів.
Turla — одна з найскладніших APT-груп у світі, відома своїми вузьконаправленими атаками на високопрофільні цілі, зокрема на Міністерство оборони США (2008), МЗС Німеччини та військові структури Франції. Вона використовує приховане шкідливе ПЗ для Linux і навіть тунелювання трафіку через супутникові інтернет-з’єднання для маскування активності.
Gamaredon, навпаки, діє масштабно, часто масово атакуючи українські організації. Її інструменти менш витончені, але швидко збирають великі обсяги даних. Група не приховує зв’язків із російською владою і не намагається приховати сліди своєї діяльності.
За словами ESET, упродовж останніх місяців на кількох пристроях було виявлено одночасну присутність шкідливого ПЗ обох груп, що свідчить про технічну взаємодію. Зокрема, Turla використовувала інструменти Gamaredon для перезапуску власного ПЗ Kazuar, а також для розгортання нової версії Kazuar v2. Це перший випадок, коли дослідники змогли технічно пов’язати ці дві групи.
ESET також розглядає альтернативну версію — Turla могла перехопити інфраструктуру Gamaredon, як це вже було у 2019 році з іранською APT-групою. Проте основна гіпотеза — спільна операція, де Gamaredon забезпечує масове зараження, а Turla вибірково працює з найціннішими цілями.
У лютому, квітні та червні 2025 року ESET зафіксувала щонайменше чотири випадки спільного зараження. Gamaredon використовувала набір інструментів PteroLNK, PteroStew, PteroOdd, PteroEffigy та PteroGraphin, тоді як Turla — Kazuar v3. В усіх випадках програмне забезпечення ESET було встановлення вже після інфікування, тож ідентифікувати «корисне навантаження» інструменту Turla було неможливо. У деяких випадках Turla видавала команди через імпланти Gamaredon, що підтверджує глибоку інтеграцію.
На думку ESET, така співпраця свідчить про координацію між підрозділами ФСБ, де Gamaredon забезпечує доступ до великої кількості машин, а Turla фокусується на тих, що містять особливо чутливу інформацію.
Джерело: arstechnica.com
