Siber güvenlik şirketi ESET, Gamaredon ve Cinsle ortasında bilinen ilk iş birliği olaylarını ortaya çıkardı. Her iki tehdit kümesi da Rusya’nın ana istihbarat kurumu FSB ile ilişkili ve birlikte Ukrayna’daki yüksek profilli amaçları taarruza uğrattı. Etkilenen makinelerde Gamaredon çok çeşitli araçlar kullanmış. Bu makinelerden birinde Cinsle, Gamaredon implantları aracılığıyla komutlar vermiş.
ESET, cinsinin birinci örneği olan bir keşifte, Gamaredon aracı PteroGraphin’in Ukrayna’daki bir makinede Cinsle kümesinin Kazuar art kapısını yine başlatmak için kullanıldığını gözlemledi. Daha yakın vakitte ESET, Turla’nın art kapısının Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti. Turla’nın kurban sayısı, Gamaredon’un taarruzlarının sayısına kıyasla çok düşük, bu da Turla’nın en kıymetli makineleri seçtiğini gösteriyor.
ESET araştırmacısı Matthieu Faou’nun Zoltán Rusnák ile yaptığı Cinsle ve Gamaredon iş birliği keşfine ait açıklamada şunları söyledi: “Bu yıl içinde ESET, Ukrayna’daki yedi bilgisayarda Turla’yı tespit etti. Gamaredon binlerce olmasa da yüzlerce bilgisayarı tehlikeye attığı için bu durum Turla’nın sırf belli bilgisayarlara, muhtemelen son derece hassas istihbarat içeren bilgisayarlara ilgi duyduğunu gösteriyor.”
Şubat 2025’te ESET Research, Turla’nın Kazuar art kapısının Gamaredon’un PteroGraphin ve PteroOdd tarafından Ukrayna’daki bir bilgisayarda çalıştırıldığını tespit etti. PteroGraphin, muhtemelen çöktükten yahut otomatik olarak başlatılmadıktan sonra Kazuar v3 art kapısını tekrar başlatmak için kullanıldı. Böylelikle PteroGraphin muhtemelen Cinsle tarafından bir kurtarma yolu olarak kullanıldı. Bu, teknik göstergeler aracılığıyla bu iki kümesi birbirine bağlayabilen birinci örnek. Nisan ve Haziran 2025’te ESET, Kazuar v2’nin Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti.
Kazuar v3, Kazuar ailesinin en son kolu ve ESET’in sadece Cinsle tarafından kullanıldığına inandığı gelişmiş bir C# casusluk implantı; birinci sefer 2016 yılında görüldü. Gamaredon tarafından dağıtılan başka makûs maksatlı yazılımlar PteroLNK, PteroStew ve PteroEffigy idi.
Rusnák ise yaptığı açıklamada: “Gamaredon, çıkarılabilir şoförlerde spearphishing ve makûs maksatlı LNK evrakları kullanmasıyla bilinir, bu nedenle bunlardan biri en muhtemel tehlike vektörüydü. Her iki kümenin da – başka ayrı FSB ile bağlantılı – iş birliği yaptığına ve Gamaredon’un Turla’ya birinci erişimi sağladığına inanıyoruz” dedi.
Daha evvel de belirtildiği üzere, her ikisi de Rus FSB’nin bir kesimi. Ukrayna Güvenlik Servisi’ne nazaran, Gamaredon’un FSB’nin karşı istihbarat servisinin bir modülü olan Kırım’daki FSB’nin 18. Merkezi (diğer ismiyle Bilgi Güvenliği Merkezi) vazifelileri tarafından işletildiği düşünülüyor., Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Turla’yı Rusya’nın ana sinyal istihbarat ajansı olan FSB’nin 16. Merkezi’ne atfediyor.
Organizasyonel açıdan, Cinsle ve Gamaredon ile sıkça ilişkilendirilen bu iki kuruluşun, Soğuk Savaş devrine kadar uzanan uzun bir iş birliği geçmişi olduğunu belirtmek gerekir. 2022’de Ukrayna’nın tam ölçekli işgali, bu yakınlaşmayı muhtemelen daha da güçlendirmiştir. ESET bilgileri, Gamaredon ve Turla’nın son aylarda Ukrayna savunma dalına odaklandığını açıkça göstermektedir.
Gamaredon en az 2013 yılından beri aktif durumda. Çoğunlukla Ukrayna devlet kurumlarına yönelik birçok hücumdan sorumlu. Snake olarak da bilinen Cinsle, en az 2004 yılından beri aktif olan, muhtemelen 1990’ların sonlarına kadar uzanan, makûs şöhretli bir siber casusluk kümesidir. Küme, yüklü olarak Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar üzere yüksek profilli gayeleri amaç alıyor. 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG üzere büyük kuruluşların sistemlerine sızmasıyla tanınıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı