Siber güvenlik şirketi ESET, Gamaredon ve Çeşitle ortasında bilinen ilk iş birliği hadiselerini ortaya çıkardı. Her iki tehdit kümesi da Rusya’nın ana istihbarat kurumu FSB ile ilişkili ve birlikte Ukrayna’daki yüksek profilli gayeleri atağa uğrattı. Etkilenen makinelerde Gamaredon çok çeşitli araçlar kullanmış. Bu makinelerden birinde Cinsle, Gamaredon implantları aracılığıyla komutlar vermiş.
ESET, çeşidinin birinci örneği olan bir keşifte, Gamaredon aracı PteroGraphin’in Ukrayna’daki bir makinede Cinsle kümesinin Kazuar art kapısını tekrar başlatmak için kullanıldığını gözlemledi. Daha yakın vakitte ESET, Turla’nın art kapısının Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti. Turla’nın kurban sayısı, Gamaredon’un hücumlarının sayısına kıyasla çok düşük, bu da Turla’nın en pahalı makineleri seçtiğini gösteriyor.
ESET araştırmacısı Matthieu Faou’nun Zoltán Rusnák ile yaptığı Tıpla ve Gamaredon iş birliği keşfine ait açıklamada şunları söyledi: “Bu yıl içinde ESET, Ukrayna’daki yedi bilgisayarda Turla’yı tespit etti. Gamaredon binlerce olmasa da yüzlerce bilgisayarı tehlikeye attığı için bu durum Turla’nın sırf makul bilgisayarlara, muhtemelen son derece hassas istihbarat içeren bilgisayarlara ilgi duyduğunu gösteriyor.”
Şubat 2025’te ESET Research, Turla’nın Kazuar art kapısının Gamaredon’un PteroGraphin ve PteroOdd tarafından Ukrayna’daki bir bilgisayarda çalıştırıldığını tespit etti. PteroGraphin, muhtemelen çöktükten yahut otomatik olarak başlatılmadıktan sonra Kazuar v3 art kapısını tekrar başlatmak için kullanıldı. Böylelikle PteroGraphin muhtemelen Tıpla tarafından bir kurtarma yolu olarak kullanıldı. Bu, teknik göstergeler aracılığıyla bu iki kümesi birbirine bağlayabilen birinci örnek. Nisan ve Haziran 2025’te ESET, Kazuar v2’nin Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti.
Kazuar v3, Kazuar ailesinin en son kısmı ve ESET’in sırf Çeşitle tarafından kullanıldığına inandığı gelişmiş bir C# casusluk implantı; birinci kere 2016 yılında görüldü. Gamaredon tarafından dağıtılan başka makûs gayeli yazılımlar PteroLNK, PteroStew ve PteroEffigy idi.
Rusnák ise yaptığı açıklamada: “Gamaredon, çıkarılabilir şoförlerde spearphishing ve makûs hedefli LNK evrakları kullanmasıyla bilinir, bu nedenle bunlardan biri en mümkün tehlike vektörüydü. Her iki kümenin da – başka farklı FSB ile bağlantılı – iş birliği yaptığına ve Gamaredon’un Turla’ya birinci erişimi sağladığına inanıyoruz” dedi.
Daha evvel de belirtildiği üzere, her ikisi de Rus FSB’nin bir modülü. Ukrayna Güvenlik Servisi’ne nazaran, Gamaredon’un FSB’nin karşı istihbarat servisinin bir kesimi olan Kırım’daki FSB’nin 18. Merkezi (diğer ismiyle Bilgi Güvenliği Merkezi) vazifelileri tarafından işletildiği düşünülüyor., Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Turla’yı Rusya’nın ana sinyal istihbarat ajansı olan FSB’nin 16. Merkezi’ne atfediyor.
Organizasyonel açıdan, Tıpla ve Gamaredon ile sıkça ilişkilendirilen bu iki kuruluşun, Soğuk Savaş devrine kadar uzanan uzun bir iş birliği geçmişi olduğunu belirtmek gerekir. 2022’de Ukrayna’nın tam ölçekli işgali, bu yakınlaşmayı muhtemelen daha da güçlendirmiştir. ESET dataları, Gamaredon ve Turla’nın son aylarda Ukrayna savunma kesimine odaklandığını açıkça göstermektedir.
Gamaredon en az 2013 yılından beri aktif durumda. Çoğunlukla Ukrayna devlet kurumlarına yönelik birçok hücumdan sorumlu. Snake olarak da bilinen Cinsle, en az 2004 yılından beri aktif olan, muhtemelen 1990’ların sonlarına kadar uzanan, makûs şöhretli bir siber casusluk kümesidir. Küme, yüklü olarak Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar üzere yüksek profilli gayeleri hedef alıyor. 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG üzere büyük kuruluşların sistemlerine sızmasıyla tanınıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
Genel
Genel
Genel
Genel
Genel
Genel
