Иллюстративный образ. Источник: welivesecurity.com
По словам исследователей ESET, две наиболее активные российские хакерские группы — Turla и Gamaredon — недавно наблюдались в совместных операциях, направленных на компромиссные устройства в Украине. Обе группы связаны с Федеральной службой безопасности России (FSB), хотя они принадлежат к его различным центрам.
Turla является одной из самых сложных групп APT в мире, известной своими ограниченными нападениями на громкие цели, включая Министерство обороны США (2008), Министерство иностранных дел Германии и военные структуры французских. Он использует скрытое вредное программное обеспечение для Linux и даже туннельный трафик через спутниковое подключение к Интернету для маскировки.
Gamratedon, напротив, управляет крупным масштабным, часто атакованным украинскими организациями. Его инструменты менее сложны, но быстро собирают большие объемы данных. Группа не скрывает связи с русскими властями и не пытается скрыть следы своей деятельности.
По словам ESET, в последние месяцы было обнаружено несколько устройств в то же время наличие вредного программного обеспечения обеих групп, что указывает на техническое взаимодействие. В частности, Turla использовала инструменты Gamaredon для перезапуска собственного программного обеспечения Kazuar, а также для развертывания новой версии Kazuar V2. Это первый раз, когда исследователи смогли технически связать эти две группы.
Eset также смотрит на альтернативную версию-Turla, которая может перехватить инфраструктуру Gamaredon, как это было уже в 2019 году с иранской группой APT. Тем не менее, основной гипотезой является суставная операция, в которой Гэмпедон обеспечивает массовое загрязнение, а Турла избирательно работает для самых ценных целей.
В феврале, апреле и июне 2025 года ESET зарегистрировал как минимум четыре случая совместной инфекции. Gamaredon использовал набор инструментов Pteolnk, Pterostew, Pteroodd, Pteroeffigy и Pteregraphin, в то время как Turla — Kazuar V3. Во всех случаях программное обеспечение ESET было установлено после заражения, поэтому было невозможно определить «полезную нагрузку» инструмента Turla. В некоторых случаях Турла выпустила команды через имплантаты Gamaredon, подтверждая глубокую интеграцию.
Согласно ESET, такое сотрудничество указывает на координацию между единицами FSB, где Gamaredon обеспечивает доступ к большому количеству машин, а Turla фокусируется на тех, кто содержат особенно конфиденциальную информацию.
Источник: Arstechnica.com