Компанія ESET повідомляє про виявлення атак на організації в Україні, які здійснили дві групи кіберзлочинців Gamaredon та Turla, пов’язані з російською ФСБ. Зокрема на інфікованих машинах група Gamaredon розгорнула широкий спектр інструментів, а на одній з них Turla змогла запускати команди через інструменти Gamaredon.

«Цього року ESET виявила активність групи Turla на семи машинах в Україні. Тоді як Gamaredon компрометує сотні, якщо не тисячі машин, група Turla зацікавлена ​​лише в певних машинах, ймовірно, тих, що містять конфіденційні військові дані», — коментують дослідники ESET.

У лютому 2025 року спеціалісти ESET виявили виконання бекдора Kazuar від Turla за допомогою PteroGraphin та PteroOdd від Gamaredon на машині в Україні. PteroGraphin використовувався для перезапуску бекдора Kazuar v3, можливо, після його збою або відсутності автоматичного запуску.

Таким чином, PteroGraphin, ймовірно, використовувався групою Turla як метод відновлення. Це перший випадок, у якому вдалося пов’язати ці дві групи разом за допомогою технічних індикаторів. У квітні та червні 2025 року дослідники ESET виявили, що Kazuar v2 був розгорнутий за допомогою інструментів Gamaredon PteroOdd та PteroPaste.

Kazuar v3 є вдосконаленим шпигунським інструментом C#, який використовується виключно групою Turla. Вперше його було виявлено у 2016 році. Іншими шкідливими програмами, розгорнутими Gamaredon, були PteroLNK, PteroStew та PteroEffigy.

«Група Gamaredon відома використанням фішингу та шкідливих LNK-файлів на змінних дисках, тому один із них був найімовірнішим вектором компрометації. Ми вважаємо, що обидві групи, окремо пов’язані з ФСБ, співпрацюють, і що Gamaredon надає початковий доступ для Turla», – коментують дослідники ESET.

Хто насправді відповідальний за кібератаки?

Групи Gamaredon та Turla є частиною російської ФСБ. За даними Служби безпеки України, групою Gamaredon керують офіцери Центру 18 ФСБ у Криму, який є частиною контррозвідувальної служби ФСБ. Тоді як, за даними Національного центру кібербезпеки Великої Британії, групу Turla відносять до Центру 16 ФСБ, який є головним агентством радіоелектронної розвідки росії.

Варто зазначити, що дві організації, які зазвичай пов’язують з групами Turla та Gamaredon, мають давню історію взаємодії, яку можна простежити ще з часів Холодної війни. Після російського вторгнення в Україну у 2022 році, ймовірно, їх взаємодія розширилася. За даними ESET, протягом останніх місяців діяльність кіберзлочинців Turla та Gamaredon була зосереджена на українському оборонному секторі.

Група Gamaredon активна щонайменше з 2013 року та відповідальна за багато атак, здебільшого на українські урядові установи. Turla, також відома як Snake, є кібершпигунською групою, яка діє щонайменше з 2004 року, можливо, з кінця 1990-х років. Зловмисники переважно зосереджені на таких цілях, як урядові та дипломатичні установи, в Європі, Центральній Азії та на Близькому Сході. Також вони відомі тим, що здійснили злам систем таких великих організацій, як Міністерство оборони США у 2008 році та швейцарська оборонна компанія RUAG у 2014 році.