Analitycy ESET odkryli pierwsze znane przypadki współpracy pomiędzy cyberprzestępczymi grupami Gamaredon i Turla. Obie grupy są powiązane z główną rosyjską agencją wywiadu FSB i wspólnie atakowały kluczowe cele w Ukrainie. Geneza współpracy obu grup sięgać może… czasów zimnej wojny i KGB.
Po raz pierwszy w historii zaobserwowano, że narzędzie należące do cyberprzestępczej grupy Gamaredon zostało użyte do ponownego uruchomienia oprogramowania szpiegowskiego grupy Turla na jednej z maszyn w Ukrainie. Analitycy ESET wykryli także, że oprogramowanie grupy Turla zostało zainstalowane z użyciem narzędzi Gamaredon. Wspólne działania obu grup pokazują, że rosyjskie operacje cyberwojenne coraz częściej bazują na synergii jednostek wyspecjalizowanych w masowych infekcjach i precyzyjnym cyberszpiegostwie.
Gamaredon to grupa APT (Advanced Persistent Threat), znana z zaawansowanych kampanii cyberataków, nakierowanych przede wszystkim na instytucje rządowe, organizacje wojskowe oraz inne strategiczne cele. Działa co najmniej od 2013 roku i odpowiada za liczne ataki, głównie wymierzone w ukraińskie instytucje rządowe. Z kolei Turla, znana również jako Snake, to jedna z najbardziej znanych grup cyberszpiegowskich, aktywna co najmniej od 2004 roku, a być może już od końca lat 90. Jej celem są przede wszystkim podmioty wysokiego szczebla, takie jak rządy i placówki dyplomatyczne w Europie, Azji Centralnej i na Bliskim Wschodzie. Grupa jest znana z włamania do Departamentu Obrony USA w 2008 roku oraz do szwajcarskiej firmy obronnej RUAG w 2014 roku.
– W ciągu tego roku ESET wykrył obecność Turli na siedmiu urządzeniach w Ukrainie. Ponieważ Gamaredon infekuje z kolei setki, jeśli nie tysiące komputerów, sugeruje to, że Turla atakuje tylko w określonych miejscach – prawdopodobnie tam, gdzie znajdują się wysoce wrażliwe informacje – mówi Matthieu Faou, analityk cyberzagrożeń w ESET, który odkrył współpracę Turli i Gamaredon wspólnie z Zoltánem Rusnákiem.
– Gamaredon jest znany ze stosowania ataków typu spearphishing (a więc ukierunkowanego phishingu) i złośliwych plików na nośnikach wymiennych, dlatego jedna z tych metod była najbardziej prawdopodobną przyczyną infekcji. Wierzymy z dużą pewnością, że obie grupy współpracują, choć każda z nich w inny sposób powiązana jest z FSB – wyjaśnia Zoltán Rusnák.
Według Służby Bezpieczeństwa Ukrainy, Gamaredon jest prawdopodobnie prowadzony przez oficerów Centrum 18 FSB (znanego także jako Centrum Bezpieczeństwa Informacyjnego) na Krymie, które wchodzi w skład kontrwywiadu FSB i zachowuje luźne powiązania z II Zarządem Głównym KGB, odpowiedzialnym za bezpieczeństwo wewnętrzne Związku Radzieckiego. Z kolei Narodowe Centrum Cyberbezpieczeństwa Wielkiej Brytanii przypisuje grupę Turla do Centrum 16 FSB, które jest główną rosyjską agencją wywiadu sygnałowego i bezpośrednim spadkobiercą 16. Zarządu KGB, odpowiedzialnego głównie za pozyskiwanie zagranicznych informacji wywiadowczych poprzez przechwytywanie i analizę sygnałów elektronicznych.
W czasach sowieckich obie struktury KGB często działały ramię w ramię, np. dzieląc się obowiązkami w zakresie monitorowania zagranicznych ambasad na terenie Rosji. W 2018 roku Służba Bezpieczeństwa Ukrainy (SBU) zaobserwowała, że będące ich spadkobiercami Centra 16 i 18 prowadziły wspólną kampanię cyberszpiegowską (o kryptonimie SpiceyHoney). Inwazja Rosji na Ukrainę w 2022 roku prawdopodobnie wzmocniła tę współpracę. Odkrycie ESET po raz pierwszy demaskuje natomiast współpracę wywodzących się najprawdopodobniej z nich, współczesnych grup APT Gamaredon i Turla. Dane ESET jednoznacznie pokazują też, że aktywności Gamaredon i Turli w ostatnich miesiącach skupiają się na ukraińskim sektorze obronnym.