Об этом сообщает KURAZH
Исследователи компании ESET сообщают о росте совместной активности двух российских хакерских групп — Turla и Gamaredon — на территории Украины. Обе структуры связаны с Федеральной службой безопасности России, однако принадлежат к разным подразделениям.
Особенности деятельности Turla и Gamaredon
Группа Turla известна сложными целевыми атаками на стратегически важные объекты, среди которых Министерство обороны США, МИД Германии и военные структуры Франции. Хакеры Turla используют скрытое вредоносное программное обеспечение для Linux и применяют туннелирование трафика через спутниковый интернет с целью маскировки своей активности.
Gamaredon, напротив, действует масштабно, атакуя преимущественно украинские организации. Несмотря на относительно простые инструменты, группа быстро собирает большие объемы данных. Gamaredon не скрывает связей с российской властью и не пытается замаскировать следы атак.
Доказательства совместной операции и технической взаимосвязи
Специалисты ESET в течение последних месяцев фиксировали случаи одновременного присутствия вредоносного ПО обеих групп на устройствах в Украине. Анализ свидетельствует о технической взаимосвязи: Turla использовала инструменты Gamaredon для перезапуска своего ПО Kazuar, а также для развертывания новой версии Kazuar v2. Это первый случай, когда исследователям удалось технически связать деятельность этих групп.
«По словам ESET, в течение последних месяцев на нескольких устройствах было обнаружено одновременное присутствие вредоносного ПО обеих групп, что свидетельствует о технической взаимосвязи. В частности, Turla использовала инструменты Gamaredon для перезапуска собственного ПО Kazuar, а также для развертывания новой версии Kazuar v2. Это первый случай, когда исследователи смогли технически связать эти две группы».
Альтернативный сценарий, который рассматривают эксперты, заключается в возможном перехвате Turla инфраструктуры Gamaredon, как это уже происходило с иранской APT-группой в 2019 году. Однако основная версия — именно координация, где Gamaredon отвечает за массовое заражение, а Turla — за работу с наиболее ценными целями.
В феврале, апреле и июне 2025 года зафиксировано как минимум четыре инцидента совместного заражения устройств. Gamaredon использовала инструменты PteroLNK, PteroStew, PteroOdd, PteroEffigy и PteroGraphin, тогда как Turla использовала Kazuar v3. Во всех случаях специалисты ESET установили свое ПО уже после инфицирования, поэтому определить точное «полезное нагрузка» Turla не удалось. Известно, что Turla иногда давала команды через импланты Gamaredon, что подтверждает глубокую интеграцию между группами.
По мнению аналитиков, такое сотрудничество свидетельствует о скоординированной деятельности подразделений ФСБ: Gamaredon обеспечивает доступ к большому количеству устройств, а Turla фокусируется на тех, что содержат особенно важную информацию.
