Две хакерские группы ФСБ, «Турла» и «Гамаредон», начали совместные атаки на государственные и оборонные сети Украины. Источник: The Record
Как сообщили исследователи, это первый задокументированный случай их сотрудничества на территории Украины. Обе группировки напрямую связаны с Федеральной службой безопасности России. По данным украинских властей, «Гамаредон», действующий как минимум с 2013 года и базирующийся в аннексированном Крыму, остается самой активной государственной кибергруппировкой, нацеленной на украинские госучреждения и оборонные предприятия. «Турла», известная с 2004 года, ранее проводила сложные шпионские операции против правительств и дипломатических структур в Европе, Центральной Азии и на Ближнем Востоке.
Словацкая компания по кибербезопасности ESET заявила, что в феврале зафиксировала четыре случая, когда обе группы одновременно скомпрометировали украинские компьютеры. «Гамаредон» использовал собственные инструменты, включая PteroLNK, PteroStew, PteroOdd, PteroEffigy и PteroGraphin, а «Турла» устанавливала бэкдор Kazuar v3. В одном из эпизодов исследователи наблюдали, как «Турла» удаленно перезапускала свое вредоносное ПО через имплант «Гамаредона», фактически используя его инфраструктуру в качестве вспомогательной системы.
В отчете ESET отмечается, что это первый случай, когда удалось связать эти две группы с помощью технических индикаторов. Точный метод взлома не установлен, но «Гамаредон» известен активным использованием фишинга и зараженных съемных носителей, которые считаются наиболее вероятным путем проникновения. По данным ESET, за последние полтора года «Турла» была обнаружена на семи украинских компьютерах, тогда как «Гамаредон» скомпрометировал сотни или даже тысячи машин. Это указывает на то, что «Турла» интересуется лишь определенными целями, вероятно, связанными с особо ценной разведывательной информацией.
Исследователи напоминают, что «Гамаредон» уже сотрудничал с другими российскими группировками. В 2020 году выяснилось, что его инфраструктура использовалась группой InvisiMole. «Турла», в свою очередь, имеет опыт взлома инфраструктуры других хакеров для доступа к целевым системам. По мнению ESET, «Гамаредон» обеспечивает начальный доступ в сети, а «Турла» затем устанавливает собственные импланты для более глубокого проникновения.
Эксперты также отметили, что подразделения ФСБ, за которыми закреплены эти группы, имеют давнюю историю взаимодействия, которая уходит корнями еще во времена холодной войны. В ESET подчеркнули, что в этом контексте сотрудничество APT-групп, действующих в структурах ФСБ, не выглядит неожиданным.
Также ранее сообщалось, что связанные с СВР российские хакеры применяют новую тактику для кибератак.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet