Компания ESET – лидер в области информационной безопасности – сообщает об обнаружении атак на организации в Украине, которые совершили две группы киберпреступников Gamaredon и Turla, связанные с российской ФСБ. В частности, на зараженных машинах группа Gamaredon развернула широкий спектр инструментов, а на одной из них Turla смогла запускать команды через инструменты Gamaredon.
«В этом году ESET обнаружила активность группы Turla на семи машинах в Украине. В то время как Gamaredon компрометирует сотни, если не тысячи машин, группа Turla заинтересована только в определенных машинах, вероятно, содержащих конфиденциальные военные данные», — комментируют исследователи ESET.
В феврале 2025 года специалисты ESET обнаружили исполнение бэкдора Kazuar от Turla с помощью PteroGraphin и PteroOdd от Gamaredon на машине в Украине. PteroGraphin использовался для перезапуска бекдора Kazuar v3, возможно после его сбоя или отсутствия автоматического запуска.
Таким образом, PteroGraphin, вероятно, использовался группой Turla как метод восстановления. Это первый случай, в котором удалось связать эти две группы с помощью технических индикаторов. В апреле и июне 2025 года исследователи ESET обнаружили, что Kazuar v2 был развернут с помощью инструментов Gamaredon PteroOdd и PteroPaste.
Kazuar v3 является усовершенствованным шпионским инструментом C#, который используется исключительно группой Turla. Впервые он был обнаружен в 2016 году. Другими вредоносными программами, развернутыми Gamaredon, были PteroLNK, PteroStew и PteroEffigy.
«Группа Gamaredon известна использованием фишинга и вредоносных LNK-файлов на сменных дисках, поэтому один из них был наиболее вероятным вектором компрометации. Мы считаем, что обе группы, отдельно относящиеся к ФСБ, сотрудничают, и что Gamaredon предоставляет начальный доступ для Turla», – комментируют исследователи ESET.
Кто на самом деле ответственный за кибератаки?
Gamaredon и Turla являются частью российской ФСБ. По данным Службы безопасности Украины, группой Gamaredon руководят офицеры Центра 18 ФСБ в Крыму, который является частью контрразведывательной службы ФСБ. В то время как, по данным Национального центра кибербезопасности Великобритании, группу Turla относят к Центру 16 ФСБ, который является главным агентством радиоэлектронной разведки россии.
Следует отметить, что две организации, который связывают с группами Turla и Gamaredon, имеют давнюю историю взаимодействия, которую можно проследить еще со времен Холодной войны. После российского вторжения в Украину в 2022 году, вероятно, их взаимодействие расширилось. По данным ESET, в последние месяцы деятельность киберпреступников Turla и Gamaredon была сосредоточена на украинском оборонном секторе.
Группа Gamaredon активна по меньшей мере с 2013 года и ответственна за многие атаки, в основном на украинские правительственные учреждения. Turla, также известная как Snake, является кибершпионской группой, которая действует по меньшей мере с 2004 года, возможно, с конца 1990-х годов. Злоумышленники преимущественно сосредоточены на таких целях, как правительственные и дипломатические учреждения, в Европе, Центральной Азии и Ближнем Востоке. Также они известны тем, что совершили взлом систем таких крупных организаций, как Министерство обороны США в 2008 году и швейцарская оборонная компания RUAG в 2014 году.
Более подробная информация об атаках Gamaredon и Turla доступна по ссылке.
В связи с опасностью кибератак специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности не открывать неизвестные письма и документы, использовать сложные пароли и многофакторную аутентификацию, своевременно обновлять программное обеспечение, а также обеспечить надежную защиту домашних устройств и многоуровневую безопасность корпоративной сети.
В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки
по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.