Hackeri napojení na ruské tajné služby spojili sily v ťažení proti Ukrajine

• Spoločnosť ESET odhalila prvý známy prípad, kedy bol nástroj PteroGraphin od skupiny Gamaredon použitý na reštartovanie backdooru Kazuar skupiny Turla na počítači na Ukrajine. Nedávno spoločnosť ESET zistila, že backdoor skupiny Turla bol nasadený pomocou nástrojov Gamaredon PteroOdd a PteroPaste.
• Výskumníci spoločnosti ESET sú presvedčení, že skupina Gamaredon spolupracuje so skupinou Turla.
• Obidve skupiny sú napojené na Federálnu bezpečnostnú službu (FSB), hlavnú spravodajskú agentúru Ruska.
• Počet obetí skupiny Turla je v porovnaní s počtom kompromitácií Gamaredonu veľmi nízky, čo naznačuje, že Turla si vyberala najcennejšie počítače.

Výskumníci spoločnosti ESET odhalili prvé známe prípady spolupráce medzi hackerskými skupinami Gamaredon a Turla. Obe skupiny sú spojené s hlavnou ruskou spravodajskou službou FSB a spoločne zaútočili na významné ciele na Ukrajine. Na napadnutých počítačoch Gamaredon nasadil širokú škálu nástrojov a na jednom z týchto počítačov bola Turla schopná vydávať príkazy prostredníctvom implantátov od Gamaredonu.

„V priebehu tohto roka ESET zaznamenal aktivity Turly na siedmich počítačoch na Ukrajine. Keďže Gamaredon ohrozuje stovky, ak nie tisíce počítačov, naznačuje to, že Turla sa zaujíma len o konkrétne počítače. Pravdepodobne tie, ktoré obsahujú vysoko citlivé spravodajské informácie,“ hovorí Matthieu Faou, výskumník spoločnosti ESET, ktorý v spolupráci s kolegom Zoltánom Rusnákom odhalil spoluprácu Turly a Gamaredonu.

Je zaujímavé, že vo februári 2025 výskumníci spoločnosti ESET odhalili spustenie backdooru Kazuar od skupiny Turla prostredníctvom nástroja PteroGraphin a PteroOdd z dielne Gamaredonu na počítači na Ukrajine. PteroGraphin bol použitý na reštartovanie backdooru Kazuar v3, pravdepodobne po tom, čo prestal fungovať alebo sa nespustil automaticky. PteroGraphin bol teda pravdepodobne použitý ako metóda obnovy zo strany Turla. Je to prvýkrát, čo sa podarilo prepojiť tieto dve skupiny prostredníctvom technických indikátorov. V apríli a júni 2025 ESET zistil, že Kazuar v2 bol nasadený pomocou nástrojov Gamaredon PteroOdd a PteroPaste.

Kazuar v3 je najnovšia vetva rodiny Kazuar, ktorá je pokročilým špionážnym implantátom v jazyku C#, ktorý podľa zistení spoločnosti ESET používa výlučne Turla. Po prvýkrát sa objavil v roku 2016. Ďalším malvérom nasadeným Gamaredonom bol PteroLNK, PteroStew a PteroEffigy.

„Gamaredon je známy používaním spearphishingu a škodlivých súborov LNK na vymeniteľných diskoch, takže jeden z nich bol s najväčšou pravdepodobnosťou vektorom kompromitácie. S vysokou istotou veríme, že obe skupiny – samostatne spojené s FSB – spolupracujú, a že Gamaredon poskytuje Turle počiatočný prístup do systémov obete,“ hovorí Rusnák.

Ako už bolo spomenuté, obe skupiny sú napojené na ruskú FSB. Podľa ukrajinskej bezpečnostnej služby sa predpokladá, že Gamaredon je riadený dôstojníkmi Centra 18 FSB (alias Centra pre informačnú bezpečnosť) na Kryme, ktoré je súčasťou kontrarozviedky FSB. Pokiaľ ide o Turlu, britské Národné centrum pre kybernetickú bezpečnosť pripisuje túto skupinu Centru 16 FSB, ktoré je hlavnou ruskou agentúrou pre signálnu rozviedku.

Z organizačného hľadiska je zaujímavé, že obe agentúry, ktoré sa bežne spájajú s Turlou a Gamaredonom, majú dlhú históriu spolupráce, ktorá siaha až do obdobia studenej vojny. Plnohodnotná invázia na Ukrajinu v roku 2022 pravdepodobne posilnila tieto interakcie, pričom údaje spoločnosti ESET jasne ukazujú, že aktivity Gamaredonu a Turly sa v posledných mesiacoch zameriavajú na ukrajinský obranný sektor.

Gamaredon je aktívny minimálne od roku 2013. Je zodpovedný za mnoho útokov, väčšinou proti ukrajinským vládnym inštitúciám. Turla, známa aj ako Snake, je neslávne známa skupina zameraná na kyberšpionáž, ktorá je aktívna minimálne od roku 2004, pravdepodobne však už od konca 90. rokov. Zameriava sa hlavne na významné ciele, ako sú vlády a diplomatické inštitúcie v Európe, Strednej Ázii a na Blízkom východe. Je známa tým, že v roku 2008 napadla veľké organizácie, ako je americké ministerstvo obrany, a v roku 2014 švajčiarsku obrannú spoločnosť RUAG.

Podrobnejšiu analýzu a technický rozbor interakcií skupín Turla a Gamaredon nájdete v špeciálnom blogu na našom medzinárodnom portáli WeLiveSecurity. Sledujte ESET Research na sieťach X (niekdajší Twitter), BlueSky a Mastodone, aby ste mali vždy najnovšie informácie od výskumníkov spoločnosti ESET.
 

O spoločnosti ESET

ESET® je popredným európskym poskytovateľom riešení v oblasti kybernetickej bezpečnosti s pobočkami po celom svete. Poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.