Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
FSB’nin Turla ve Gamaredon Hacking Grupları arasında ilk kötü amaçlı yazılım bağı
Mathew J. Schwartz (Euroinfosec) •
19 Eylül 2025
Ayrı Rus istihbarat hack takımları, Ukrayna’daki yüksek değerli istihbarat hedeflerine karşı güçlerini birleştirmiş gibi görünüyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Siber güvenlik firması ESET, en az Ocak’tan Haziran ayına kadar uzanan saldırılarda iki grup arasında bir bağ bulduğunu söyledi.
İlgili tehdit grupları Gamaredon ve Turla olarak izleniyor. Her ikisi de Kremlin’in birincil iç güvenlik ve istihbarat ajansı olan Rusya’nın federal güvenlik hizmetinin ayrı kollarına bağlı. FSB olarak bilinen ajans, Rusya’nın Sovyetler Birliği’nin KGB’sinin halefidir.
İki grup aynı Rus istihbarat ajansının bir parçası olmakla birlikte, araştırmacılar daha önce bir grubun kanıtı diğerinin kötü amaçlı yazılımlarını kullanmadıklarını söylediler.
ESET araştırmacısı Zoltán Rusnák, “FSB ile ayrı ayrı ilişkili her iki grubun da işbirliği yaptığına ve Gamaredon’un Turla’ya ilk erişim sağladığına inanıyoruz.” Dedi.
ESET araştırmacısı Matthieu Faou, “Bu yıl boyunca ESET, Ukrayna’daki yedi makinede Turla’yı tespit etti.” Dedi. “Gamaredon binlerce makineye olmasa da yüzlerce ödün verdiği için, bu Turla’nın sadece belirli makinelerle, muhtemelen son derece hassas zeka içerenlerle ilgilendiğini gösteriyor.”
Ortak operasyonun kanıtları, Rusya’nın Ukrayna’ya karşı fetih savaşı dördüncü yılına girdiği için ortaya çıkıyor. ABD Başkanı Donald Trump’a Rus lideri Vladimir Putin’i ateşkes kabul etmeye çağırmasına rağmen, Rus ordusu drone ve füze saldırılarını yoğunlaştırdı ve son zamanlarda Polonya ve Romanya hava sahasını dronlar ve Estonya’nın askeri jetlerle hava sahası ile ihlal etti. Tahsisler, Avrupa Birliği’nden Moskova tarafından para aklamak için kullanılan kripto para platformlarını içeren yeni bir yaptırımla sonuçlandı.
Araştırmacılar, ilk olarak, saldırganların pterographin ve pteroodd dahil olmak üzere sistemde yüklü kötü amaçlı araçlar kullanılarak, belki de ilk etapta çöktüğü veya asla doğru şekilde kurulmadığı için – Kazuar adlı bir Turla arka kapısı ile enfekte olan dört sistem tespit ettiler. Ukrayna sistemlerinin Ocak ayında tehlikeye atıldığını ve Kazuar V3 arka kapısının Şubat ayında yeniden başlatıldığını söylediler.
Kazuar’ı “ESET’in sadece Turla tarafından kullanıldığına inandığı gelişmiş bir C# casusluk implantı olarak tanımladılar; ilk olarak 2016’da görüldü.”
“Dört vakada da, ESET uç noktası ürünü uzlaştıktan sonra kuruldu.” Dediler. Sonuç olarak, ilk enfeksiyon vektörünü tahmin edebilse de, “kesin uzlaşma yöntemini belirleyemiyoruz”.
“Gamaredon, Spearphing ve Malikar Notu kullandığı için bilinir .lnk Çıkarılabilir sürücülerdeki dosyalar, bu nedenle bunlardan biri en olası uzlaşma vektörüydü, “dedi Rusnák.
Araştırmacılar daha sonra Gamaredon Tools Pteroodd ve Pteropaste’nin Nisan ve Haziran aylarında Kazuar V2’yi konuşlandırdığı üç sistem daha belirlediler.
Rusnák ile ilişkiyi keşfeden FAOU, bulgularını Cuma günü Arizona’da Sentinelone tarafından düzenlenen Labscon 2025 konferansında sunacaktı.
Bu kampanyanın keşfedilmesinden önce, araştırmacılar Ukrayna’da son kez Turla uzlaşmasını tespit ettiler.
Gamaredon ve Turla’yı izleme
Gamaredon ve Turla arasındaki ortak bir operasyon kanıtı, Rus istihbarat hizmetlerinin itibarına, bir değerlendirme sözüyle, “dahili olarak bölünmüş, bürokratik çim savaşları tarafından dikkati dağılmış” ve genellikle “düşük kalite zekası” üretiyor olabilir.
Ancak ESET, “Bu tür gerginliklerin, kurum içi etkileşimlerden ziyade hizmetler arası ilişkiler için uygulandığına dair göstergeler var” ve “bu bağlamda, FSB’nin uygun gruplarından ikisinin birlikte çalışabileceğinin belki de tamamen şaşırtıcı olmadığını” söyledi.
Aslında, “her iki kuruluş da özellikle eski Sovyet cumhuriyetleri ile ilgili olarak bazı görev çakışmalarını sürdürüyor gibi görünüyor” dedi.
Güvenlik araştırmacıları, 2013 yılında ortaya çıktığından beri Gamaredon’u izledi ve kod adını ilk kampanyalarından birinde Armageddon kelimesini yanlış yazdı. Güvenlik uzmanları aynı zamanda ilkel ayı, shuckworm ve aqua blizzard olarak izliyor ve bunun askeri, yargı, kolluk kuvvetleri ve kar amacı gütmeyen kuruluşları da dahil olmak üzere Ukrayna’yı hedeflemeye odaklandığını söyledi.
Ukraynalı yetkililer, Gamaredon’u Ukrayna’yı hedeflemeye adanmış, genellikle Rusça işgal edilen Kırım’dan çalışan ve FSB’nin Moskova merkezli merkez 18 tarafından koordine edilen “FSB özel bir projesi” olarak nitelendirdiler. Merkez 18, yani FSB’nin karşıtlık hizmeti için Merkezi FSB’nin karşıtı bir birimdir.
Turla’nın varlığı en az 2004 ve muhtemelen 1990’ların sonuna kadar uzanmaktadır. Grup ayrıca Snake, Kripton, Zehirli Ayı ve Gizli Blizzard olarak izlenir ve sulama deliği ve mızrak aktı kampanyalarında mükemmeldir. Uzmanlar, grubun askeri, hükümet, araştırma ve geliştirme ve ilaç hedefleri de dahil olmak üzere 50’den fazla ülkeye yönelik saldırılara bağlı olduğunu söyledi.
2008 yılında ABD Savunma Bakanlığı’na ve 2014’te İsviçre Savunma Yüklenicisi Ruag’a yönelik saldırılar da dahil olmak üzere Turla’ya bir dizi büyük ihlal bağlantı kuruyor. 2019’da Amerika Birleşik Devletleri ve Büyük Britanya Turla’yı maskeden çıkardı ve Oilrig adı verilen bir İran ulus-devlet saldırısı ekibi tarafından kullanılan önemli bir saldırı altyapısı ve saldırı araçlarını kaçırdı.
Batı istihbarat ajansları, Turla’nın yabancı istihbarat üzerine odaklanan ve soyunu KGB’nin 16. Müdürlüğüne izleyen FSB Center 16, AKA Askeri Birimi 71330 tarafından yönetildiğini söylüyor. Birleşik Krallık hükümeti, Center 16’nın “elektronik mesajların kesilmesi, şifresi ve işlenmesi ve yabancı hedeflerin teknik penetrasyonu gibi siber operasyonlardan sorumlu olduğunu” söyledi.
2018 yılında, Ukrayna’nın güvenlik hizmeti, Crowdstrike tarafından Spiceyhoney olarak izlenen bir saldırı kampanyasını, Pteranodon adı verilen yeni bir özel arka kapı kullanılarak “Gamedon” un katılımı da dahil olmak üzere Ortak Merkez 16’ya ve Center 18 operasyonuna atfetti.