Siber güvenlik şirketi ESET, Gamaredon ve Çeşitle ortasında bilinen ilk iş birliği hadiselerini ortaya çıkardı. Her iki tehdit kümesi da Rusya’nın ana istihbarat kurumu FSB ile kontaklı ve birlikte Ukrayna’daki yüksek profilli maksatları atağa uğrattı. Etkilenen makinelerde Gamaredon çok çeşitli araçlar kullanmış. Bu makinelerden birinde Cinsle, Gamaredon implantları aracılığıyla komutlar vermiş.
ESET, tipinin birinci örneği olan bir keşifte, Gamaredon aracı PteroGraphin’in Ukrayna’daki bir makinede Tıpla kümesinin Kazuar art kapısını tekrar başlatmak için kullanıldığını gözlemledi. Daha yakın vakitte ESET, Turla’nın art kapısının Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti. Turla’nın kurban sayısı, Gamaredon’un hücumlarının sayısına kıyasla çok düşük, bu da Turla’nın en pahalı makineleri seçtiğini gösteriyor.
ESET araştırmacısı Matthieu Faou’nun Zoltán Rusnák ile yaptığı Çeşitle ve Gamaredon iş birliği keşfine ait açıklamada şunları söyledi: “Bu yıl içinde ESET, Ukrayna’daki yedi bilgisayarda Turla’yı tespit etti. Gamaredon binlerce olmasa da yüzlerce bilgisayarı tehlikeye attığı için bu durum Turla’nın sırf muhakkak bilgisayarlara, muhtemelen son derece hassas istihbarat içeren bilgisayarlara ilgi duyduğunu gösteriyor.”
Şubat 2025’te ESET Research, Turla’nın Kazuar art kapısının Gamaredon’un PteroGraphin ve PteroOdd tarafından Ukrayna’daki bir bilgisayarda çalıştırıldığını tespit etti. PteroGraphin, muhtemelen çöktükten yahut otomatik olarak başlatılmadıktan sonra Kazuar v3 art kapısını tekrar başlatmak için kullanıldı. Böylelikle PteroGraphin muhtemelen Tıpla tarafından bir kurtarma formülü olarak kullanıldı. Bu, teknik göstergeler aracılığıyla bu iki kümesi birbirine bağlayabilen birinci örnek. Nisan ve Haziran 2025’te ESET, Kazuar v2’nin Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti.
Kazuar v3, Kazuar ailesinin en son kısmı ve ESET’in sadece Çeşitle tarafından kullanıldığına inandığı gelişmiş bir C# casusluk implantı; birinci kere 2016 yılında görüldü. Gamaredon tarafından dağıtılan öbür makus emelli yazılımlar PteroLNK, PteroStew ve PteroEffigy idi.
Rusnák ise yaptığı açıklamada: “Gamaredon, çıkarılabilir şoförlerde spearphishing ve makûs emelli LNK evrakları kullanmasıyla bilinir, bu nedenle bunlardan biri en mümkün tehlike vektörüydü. Her iki kümenin da – farklı ayrı FSB ile bağlantılı – iş birliği yaptığına ve Gamaredon’un Turla’ya birinci erişimi sağladığına inanıyoruz” dedi.
Daha evvel de belirtildiği üzere, her ikisi de Rus FSB’nin bir kesimi. Ukrayna Güvenlik Servisi’ne nazaran, Gamaredon’un FSB’nin karşı istihbarat servisinin bir kesimi olan Kırım’daki FSB’nin 18. Merkezi (diğer ismiyle Bilgi Güvenliği Merkezi) vazifelileri tarafından işletildiği düşünülüyor., Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Turla’yı Rusya’nın ana sinyal istihbarat ajansı olan FSB’nin 16. Merkezi’ne atfediyor.
Organizasyonel açıdan, Çeşitle ve Gamaredon ile sıkça ilişkilendirilen bu iki kuruluşun, Soğuk Savaş periyoduna kadar uzanan uzun bir iş birliği geçmişi olduğunu belirtmek gerekir. 2022’de Ukrayna’nın tam ölçekli işgali, bu yakınlaşmayı muhtemelen daha da güçlendirmiştir. ESET bilgileri, Gamaredon ve Turla’nın son aylarda Ukrayna savunma dalına odaklandığını açıkça göstermektedir.
Gamaredon en az 2013 yılından beri aktif durumda. Çoğunlukla Ukrayna devlet kurumlarına yönelik birçok hücumdan sorumlu. Snake olarak da bilinen Cinsle, en az 2004 yılından beri aktif olan, muhtemelen 1990’ların sonlarına kadar uzanan, makus şöhretli bir siber casusluk kümesidir. Küme, yüklü olarak Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar üzere yüksek profilli gayeleri maksat alıyor. 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG üzere büyük kuruluşların sistemlerine sızmasıyla tanınıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
