Про це розповідає KURAZH
Дослідники компанії ESET повідомляють про зростання спільної активності двох російських хакерських груп — Turla та Gamaredon — на території України. Обидві структури пов’язані з Федеральною службою безпеки росії, проте належать до різних підрозділів.
Особливості діяльності Turla та Gamaredon
Група Turla відома складними цільовими атаками на стратегічно важливі об’єкти, серед яких Міністерство оборони США, МЗС Німеччини та військові структури Франції. Хакери Turla застосовують приховане шкідливе програмне забезпечення для Linux і використовують тунелювання трафіку через супутниковий інтернет з метою маскування своєї активності.
Gamaredon, навпаки, діє масштабно, атакуючи переважно українські організації. Попри відносно прості інструменти, група швидко збирає великі обсяги даних. Gamaredon не приховує зв’язків із російською владою й не намагається приховати сліди атак.
Докази спільної операції та технічної взаємодії
Фахівці ESET протягом останніх місяців фіксували випадки одночасної присутності шкідливого ПЗ обох груп на пристроях в Україні. Аналіз свідчить про технічну взаємодію: Turla застосовувала інструменти Gamaredon для перезапуску свого ПЗ Kazuar, а також для розгортання нової версії Kazuar v2. Це вперше, коли дослідникам вдалося технічно пов’язати діяльність цих груп.
“За словами ESET, упродовж останніх місяців на кількох пристроях було виявлено одночасну присутність шкідливого ПЗ обох груп, що свідчить про технічну взаємодію. Зокрема, Turla використовувала інструменти Gamaredon для перезапуску власного ПЗ Kazuar, а також для розгортання нової версії Kazuar v2. Це перший випадок, коли дослідники змогли технічно пов’язати ці дві групи”.
Альтернативний сценарій, який розглядають експерти, полягає у можливому перехопленні Turla інфраструктури Gamaredon, як це вже траплялося з іранською APT-групою у 2019 році. Проте основна версія — саме координація, де Gamaredon відповідає за масове зараження, а Turla — за роботу з найбільш цінними цілями.
У лютому, квітні та червні 2025 року зафіксовано щонайменше чотири інциденти спільного зараження пристроїв. Gamaredon застосовувала інструменти PteroLNK, PteroStew, PteroOdd, PteroEffigy та PteroGraphin, тоді як Turla використовувала Kazuar v3. В усіх випадках фахівці ESET встановили своє ПЗ вже після інфікування, тому визначити точне “корисне навантаження” Turla не вдалося. Відомо, що Turla іноді надавала команди через імпланти Gamaredon, що підтверджує глибоку інтеграцію між групами.
На думку аналітиків, така співпраця свідчить про скоординовану діяльність підрозділів ФСБ: Gamaredon забезпечує доступ до великої кількості пристроїв, а Turla фокусується на тих, що містять особливо важливу інформацію.
