Кибершпионаж в действии: Turla и Gamaredon объединяют усилия против Украины

В феврале 2025 года в результате анализа данных телеметрии ESET было обнаружено, что инструмент Gamaredon под названием PteroGraphin использовался для перезапуска бэкдора Kazuar, принадлежащего группе Turla, на одном из компьютеров в Украине. Это стало первым техническим свидетельством прямого взаимодействия между группами. В апреле и июне того же года были зафиксированы дополнительные случаи развёртывания Kazuar v2 с использованием инструментов Gamaredon - PteroOdd и PteroPaste.

Gamaredon, активная с 2013 года, традиционно фокусируется на массированных атаках против украинских государственных учреждений. Turla, также известная как Snake, действует с начала 2000-х годов. В отличие от Gamaredon, Turla известна точечными атаками на высокопоставленные цели, включая правительственные и дипломатические структуры.

За последние 18 месяцев Turla была обнаружена лишь на семи машинах в Украине, в то время как Gamaredon регулярно компрометирует сотни систем. Это позволяет предположить, что Turla получает от Gamaredon доступ только к наиболее ценным машинам, вероятно, содержащим критически важную разведывательную информацию.

Аналитики предлагают три возможные гипотезы сотрудничества групп. Наиболее вероятной считается прямая координация между двумя подразделениями, в рамках которой Gamaredon предоставляет Turla доступ к конкретным системам. Менее вероятные сценарии включают несанкционированный захват инфраструктуры Gamaredon со стороны Turla или самостоятельное использование Gamaredon инструментов Turla.

Технический анализ показал, что Gamaredon использовал свои инструменты для развёртывания, перезапуска и управления нагрузками Kazuar. В частности, PteroGraphin, содержащий Посмотреть в словаре жестко закодированый токен для редактирования страниц на Telegra.ph, применялся для выполнения команд Turla. Это указывает на высокую степень интеграции между группами.

Kazuar v3, последняя версия бэкдора Turla, представляет собой усложнённый шпионский инструмент с расширенными сетевыми возможностями, включая поддержку WebSockets и Exchange Web Services. Интересно, что Turla продолжает одновременно использовать как v2, так и v3 версии Kazuar, что свидетельствует о постоянном развитии их арсенала.

Взаимодействие между группами позволяет сочетать массовость атак Gamaredon с изощрённостью инструментов Turla, создавая серьёзные вызовы для киберзащиты Украины и её партнёров.

IPv4

• 168.119.152.19
• 185.118.115.15
• 217.160.0.159
• 217.160.0.33
• 64.176.173.164
• 77.46.148.242
• 85.13.145.231
• 91.231.182.187

Domains

• abrargeospatial.ir
• ekrn.ydns.eu
• eset.ydns.eu
• fjsconsultoria.com
• hauptschule-schwalbenstrasse.de
• ingas.rs
• lucky-king-96d6.mopig92456.workers.dev
• www.brannenburger-nagelfluh.de
• www.pizzeria-mercy.de

SHA1

• 214dc22fa25314f9c0dda54f669ede72000c85a4
• 2610a899fe73b8f018d19b50be55d66a6c78b2af
• 371ab9eb2a3da44099b2b7716de0916600450cfd
• 3a24520566bbe2e262a2911e38fd8130469ba830
• 4a58365eb8f928ec3cd62ff59e59645c2d8c0ba5
• 54f2245e0d3adec566e4d822274623bf835e170c
• 7db790f75829d3e6207d8ec1cbcd3c133f596d67
• a7acee41d66b537d900403f0e6a26ab6a1290a32
• d7df1325f66e029f4b77e211a238aa060d7217ed
• da7d5b9ab578ef6487473180b975a4b2701fda9e
• ff741330cc8d9624d791de9074086bbfb0e257dc