Güvenlik araştırmacıları, Rusya'ya bağlı iki aktif siber saldırı grubunun yakın zamanda Ukrayna'daki yüksek değerli cihazları hedef alan zararlı yazılım saldırılarında işbirliği yaptığını bildirdi. Bu iki grup, siber güvenlik dünyasında Turla ve Gamaredon olarak biliniyor.
Turla, dünya genelindeki en sofistike ve gelişmiş kalıcı tehdit (APT) gruplarından biri olarak kabul ediliyor. Yıllar boyunca belirli hedeflere yönelik, iyi finanse edilmiş ve organize saldırılar gerçekleştirdiği biliniyor. Geçmişte ABD Savunma Bakanlığı, Alman Dışişleri Bakanlığı ve Fransa ordusu gibi önemli kurumların hacklenmesinde rol oynadığına dair raporlar bulunuyor. Turla ayrıca Linux tabanlı zararlı yazılımları gizlice yayma ve operasyonlarının gizliliğini sağlamak için uydu internet bağlantılarını kullanma gibi yöntemleriyle de tanınıyor. Bu grup genellikle çok dar bir hedef kitlesine yönelik, düşük profilli saldırılar gerçekleştiriyor.
Diğer grup olan Gamaredon ise daha geniş çaplı operasyonlar yürütmesiyle biliniyor ve sıklıkla Ukrayna'daki kuruluşları hedef alıyor. Turla'nın aksine, Gamaredon'un tespit edilmekten veya Rus hükümetiyle ilişkilendirilmekten çekinmediği gözlemleniyor. Bu grubun zararlı yazılımları genellikle kısa süre içinde hedeflerden mümkün olduğunca fazla bilgi toplamayı amaçlıyor. Her iki grubun da Rusya Federal Güvenlik Servisi'nin (FSB) birimleri olduğu düşünülüyor.
İşbirliği İhtimali Daha Güçlü
Güvenlik firması ESET, bu iki grubun zararlı yazılımlarının son aylarda birden fazla cihazda birlikte veya etkileşimli olarak kurulduğunu tespit ettiğini duyurdu. ESET'in araştırmacıları, Turla'nın daha önce İran hükümeti için çalışan rakip bir APT grubunun saldırı platformunu ele geçirdiği 2019'daki olaya benzer şekilde, Gamaredon'un altyapısını da devralmış olabileceği ihtimalini değerlendirdi. Geçen yıl da Turla'nın Ukrayna'da Starlink internetini kullanan cihazları hedef alan bir kampanyada iki finans odaklı hack grubunun altyapısını kendi amaçları için kullandığı görülmüştü.
Ancak ESET'in en olası hipotezi, Turla ve Gamaredon'un birlikte çalıştığı yönünde. Firma, her iki grubun da Rus FSB'sinin farklı merkezlerine bağlı olmasına rağmen, Gamaredon'un Turla operatörlerine belirli bir makinede Kazuar zararlı yazılımını yeniden başlatma ve bazılarında Kazuar v2'yi dağıtma komutlarını verme izni sağladığına inanıyor.
ESET'in bildirdiğine göre, Gamaredon daha önce 2020'de InvisiMole adıyla bilinen başka bir grupla da işbirliği yapmıştı. Bu yılın şubat ayında, ESET araştırmacıları Ukrayna'da dört farklı Gamaredon-Turla ortak saldırısı tespit etti. Bu saldırılarda Gamaredon, PteroLNK, PteroStew, PteroOdd, PteroEffigy ve PteroGraphin gibi çeşitli araçlar kullanırken, Turla ise kendi özel Kazuar zararlı yazılımının 3. sürümünü yükledi.
Saldırıya uğrayan cihazlardan birindeki ESET yazılımı, Turla'nın Gamaredon implantları aracılığıyla komutlar verdiğini gözlemledi. ESET, PteroGraphin'in muhtemelen Kazuar çöktüğünde veya otomatik olarak başlatılmadığında bir kurtarma yöntemi olarak kullanıldığını belirtti. Bu, iki grubun teknik göstergelerle ilk kez ilişkilendirildiği durum olarak kayıtlara geçti.
Nisan ve haziran aylarında ise ESET, Gamaredon zararlı yazılımları tarafından Kazuar v2 yükleyicilerinin dağıtıldığını tespit etti. ESET, bu durumun bu iki grup arasında aktif bir işbirliği olduğunu düşündürdüğünü belirtti. Firmanın değerlendirmesine göre, Gamaredon'un yüzlerce hatta binlerce makineyi ele geçirmesi, Turla'nın sadece yüksek düzeyde hassas istihbarat içeren belirli cihazlara odaklandığını gösteriyor.
