Sakin kapüşonlu figürler, FSB’nin himayesinde hedeflenen kuruluşlara karşı faaliyet gösteren Rus hacker’ları temsil ediyor.
Önde gelen iki Rus devlet destekli hack grubu olan Gamaredon ve Turla, Ukrayna örgütlerini ileri Kazuar arka kapısını dağıtmayı hedefleyen sofistike siber saldırılarda işbirliği yaparken gözlendi.
Yeni kanıtlar, bu Federal Güvenlik Servisi (FSB) bağlı tehdit aktörleri arasında eşi görülmemiş bir koordinasyon düzeyini ortaya koyuyor ve Rus siber casusluk operasyonlarında önemli bir evrimi işaret ediyor.
23 Mart 2023 itibariyle Ukrayna’da bölgesel kontrol haritası, devam eden çatışmanın ortasında Rus ve Ukrayna kontrollü alanlarını gösteriyor
Güvenlik araştırmacıları, Gamaredon ve Turla operasyonlarını ortak altyapı ve Kazuar kötü amaçlı yazılım ailesinin koordineli olarak konuşlandırmasıyla ilişkilendiren ilk teknik kanıtları belgeledi.
Bu işbirliği, iki ayrı FSB merkezi arasında stratejik bir ittifakı temsil eder – Gamaredon, işgal altındaki Kırım’da ve Center 16’da (Sinyal İstihbarat) atfedilen Center 18 (Bilgi Güvenliği) tarafından işletilir.
Ortaklık, Rus istihbarat teşkilatlarının kendi güçlü yönlerini nasıl kullandığını gösteriyor: Gamaredon’un kapsamlı erişim ağı ve Turla’nın sofistike casusluk yetenekleri.
Şubat ve Haziran 2025 yılları arasında, araştırmacılar Gamaredon’un ilk erişim araçlarının Turla’nın Kazuar arka kapısını Ukrayna’daki yüksek değerli hedeflere dağıtmak için kullanıldığı birden fazla örnek belirlediler.
2013’ten beri aktif olan Gamaredon, 5.000’den fazla belgelenmiş siber saldırı ile Ukrayna hükümet kurumlarını sürekli olarak hedefledi.
Grup, Ukrayna altyapısında yaygın uzlaşma operasyonlarına odaklanarak FSB Center 18 yönü altında işgal altındaki Kırım’dan faaliyet göstermektedir.
Araçları arasında Pterolnk, Pterostew, Pteroodd, Pteroeffigy ve Pterographin – ilk erişim ve kalıcılık için tasarlanmış özel kötü amaçlı yazılım bulunmaktadır.
Gelişmiş Kazuar Backdoor Dağıtım
Kilit merkezleri ve bunların siber operasyonlar ve zeka ile ilgili bilinen takma adlarını gösteren Rus Federal Güvenlik Servisi’nin (FSB) organizasyon tablosu.
27 Şubat’tath2025, 15:47:56 UTC, https: //api.telegra’ya bir istek tespit ettik[.]ph/getpage/dinoasjdnl-02-27? return_content = true.
Yılan olarak da bilinen Turla, en az 2004’ten beri Şüpheli FSB Center 16 bağlantısı ile faaliyet gösteren küresel olarak en siber casusluk gruplarından birini temsil ediyor.
Grup daha önce ABD Savunma Bakanlığı ve İsviçre Savunma Şirketi Ruag dahil olmak üzere büyük hedefleri ihlal etti. En son silahları Kazuar Sürüm 3, C# Casusluk implant teknolojisinde önemli bir ilerlemeyi temsil ediyor.
İşbirliği, güvenlik araştırmacıları tarafından belgelenen üç ayrı saldırı zinciri içeriyor. İlk zincirde, Gamaredon’un pterograf aracı Turla’nın Kazuar V3 implantını yeniden başlatmak için kullanıldı ve Gamaredon’un Turla operasyonları için kurtarma yetenekleri sağladığı operasyonel koordinasyon olduğunu gösteriyor.
İkinci ve üçüncü zincirler, Kazuar V2’nin Gamaredon’un Pteroodd ve Pteropaste araçları aracılığıyla doğrudan konuşlandırılmasını göstererek sistematik işbirliğini gösteriyor.
Kazuar V3, selefinden yaklaşık% 35 daha fazla kod içerir ve web soketleri ve değişim web hizmetleri de dahil olmak üzere gelişmiş ağ taşıma yöntemlerini sunar.
Sonra, 28 Şubat’tath2025, 15:17:14 UTC, benzer bir PowerShell senaryosu daha tespit ettik.
Kötü amaçlı yazılım, gelişmiş operasyonel güvenlik için bu bileşenlere dağıtılmış özel işlevlere sahip üç farklı rol (çekirdek, köprü ve işçi) ile çalışır.
Stratejik hedefleme ve mağdur
FSB, SVR ve GRU birimlerini ve halka açık ilişkili hack gruplarını gösteren Rus zekası siber yapısı.
Teknik kanıtlar, Kazuar yükleyicilerini komut ve kontrol altyapısından indiren Gamaredon araçlarını, yük dağıtım için Telegra.ph’nin paylaşılan kullanımını ve Kazuar iletişim kanalları olarak tehlikeye atılan WordPress sunucularının koordineli kullanımını içerir. Bu göstergeler tesadüfi aktivite yerine sistematik operasyonel entegrasyon göstermektedir.
İşbirliğinin analizi, Turla’nın belirli yüksek değerli zeka hedeflerine olan ilgisini gösteren seçici hedefleme kalıplarını ortaya koymaktadır.
Gamaredon genellikle geniş kampanyalarda yüzlerce veya binlerce makineyi tehlikeye atarken, Turla’nın Kazuar’ın seçici olarak konuşlandırılması, son derece hassas zeka içeren kuruluşlara odaklanmayı gösteriyor.
18 aydan fazla, araştırmacılar Turla’nın Ukrayna’da sadece yedi makinede varlığını tespit ettiler, Gamaredon Ocak 2025’te ilk uzlaşmayı sağladı ve ardından Şubat 2025’te Kazuar V3 konuşlandırıldı.
Bu seçici yaklaşım, Turla’nın Avrupa, Orta Asya ve Orta Doğu’daki yüksek profilli hükümet ve diplomatik hedeflere tarihsel odaklanmasıyla uyumludur.
Jeopolitik bağlam, bu işbirliği için derin tarihsel kökleri ortaya koymaktadır. FSB Merkezleri 16 ve 18, soylarını Sovyet döneminde sık sık işbirliği yapan KGB müdürlüklerine kadar takip ediyor.
Ukrayna’nın 2022 tam ölçekli istilası, her iki grup da operasyonları Ukrayna savunma sektörü hedeflerine odaklayarak bu yakınsamayı güçlendirdi.
Bu işbirliği, Gamaredon’un geniş erişim ağını Turla’nın gelişmiş casusluk araçlarıyla birleştirerek Rus siber yeteneklerinde önemli bir yükselmeyi temsil ediyor.
Ortaklık, bölümlere ayrılmış sorumluluklar yoluyla operasyonel güvenliği sürdürürken, yüksek değerli zekanın daha verimli hedeflenmesini sağlar. Dünya çapında güvenlik kuruluşları, bu FSB-koordineli siber tehdit manzarasının sürekli evrimine hazırlanmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.