Rusya bağlantılı Gamaredon ve Turla Ukrayna’yı hedef alıyor
Siber güvenlik şirketi ESET, Rusya Federal Güvenlik Servisi (FSB) ile bağlantılı olduğu düşünülen Gamaredon ve Turla grupları arasında bilinen ilk iş birliği vakalarını tespit etti. Bulgulara göre her iki tehdit grubu da Ukrayna’daki yüksek profilli kuruluşları hedef aldı.
ESET araştırmalarında, Gamaredon’un çeşitli kötü amaçlı yazılımlar kullandığı, Turla’nın ise bu araçlar aracılığıyla bazı sistemlere erişim sağladığı belirlendi. Örneğin, Gamaredon tarafından kullanılan PteroGraphin aracının Ukrayna’daki bir makinede Turla grubuna ait Kazuar arka kapısını yeniden başlatmak için kullanıldığı gözlemlendi. Daha yakın tarihlerde ise Turla’nın Kazuar arka kapısının, Gamaredon’un PteroOdd ve PteroPaste araçlarıyla dağıtıldığı tespit edildi.
İki grup arasındaki ilk bağlantı
ESET’e göre bu bulgular, teknik göstergeler üzerinden Gamaredon ile Turla arasında doğrudan bağlantı kurulan ilk örnek niteliğinde. Araştırmacılar, Turla’nın yalnızca seçili ve muhtemelen yüksek değer taşıyan bilgisayarlara odaklandığını, buna karşın Gamaredon’un çok daha geniş çaplı saldırılar gerçekleştirdiğini aktardı.
ESET araştırmacısı Matthieu Faou, Ukrayna’da tespit edilen yedi bilgisayarda Turla’nın faaliyet gösterdiğini belirterek, bu durumun grubun stratejik öneme sahip sistemlere yoğunlaştığını gösterdiğini ifade etti.
Grupların yöntemleri
Gamaredon’un, çıkarılabilir sürücüler ve oltalama yöntemleriyle yayılan kötü amaçlı LNK dosyaları kullanarak sızma gerçekleştirdiği biliniyor. Turla ise gelişmiş casusluk yazılımlarıyla öne çıkıyor. ESET’in tespit ettiği vakalarda Gamaredon’un kullandığı PteroGraphin, PteroOdd, PteroPaste, PteroLNK, PteroStew ve PteroEffigy gibi araçlar dikkat çekti.
Kazuar arka kapısı ise yalnızca Turla tarafından kullanılan, 2016’dan bu yana bilinen ve gelişmiş casusluk özellikleri barındıran bir yazılım olarak tanımlanıyor.
FSB ile ilişkilendirme
Ukrayna Güvenlik Servisi, Gamaredon’un FSB’nin Kırım’daki 18. Merkezi tarafından desteklendiğini öne sürüyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi ise Turla’yı FSB’nin sinyal istihbarat birimi olan 16. Merkez’e atfediyor. Uzmanlara göre her iki grubun kökenleri Soğuk Savaş dönemine kadar uzanıyor ve Ukrayna’ya yönelik saldırılar bu iş birliğini daha da pekiştirmiş olabilir.
Geçmiş faaliyetler
Gamaredon’un 2013’ten bu yana özellikle Ukrayna devlet kurumlarını hedef aldığı biliniyor. Turla ise 2004’ten bu yana faal durumda ve Avrupa, Orta Asya ile Orta Doğu’daki hükümetler ve diplomatik kurumlar üzerinde siber casusluk faaliyetleri yürüttüğü iddia ediliyor. Grup, geçmişte ABD Savunma Bakanlığı ve İsviçreli savunma şirketi RUAG gibi yüksek profilli kuruluşların sistemlerine sızmakla anılmıştı.
