ESET’in Buluşması: Rusya Bağlantılı Gamaredon ve Turla’nın İlk İş Birliği Keşfi

ESET, iki tehdit grubunun (Gamaredon ve Turla) arasındaki ilk iş birliği vakalarını gün yüzüne çıkardı. FSB ile bağlantılı oldukları düşünülen bu gruplar, Ukrayna’da yüksek profilli hedeflere karşı koordineli saldırılar gerçekleştirdi. Gamaredon, özellikle geniş araç yelpazesini kullanırken Turla’nın operasyonel tercihi bazı makinelerde görüldü; bir durumda Turla, Gamaredon’un implantları üzerinden komutlar yürütmüş.

Görüntüler arasında yer alan en çarpıcı tespitlerden biri, PteroGraphin aracının Ukrayna’daki bir makinede Kazuar arka kapısını yeniden başlatmak amacıyla kullanılmasıydı. Ardından gelen analizler, Turla’nın arka kapısının Gamaredon araçları PteroGraphin ve PteroOdd ile dağıtıldığına işaret etti. Turla’nın kurban seçimi, Gamaredon’a kıyasla daha sınırlı sayıda olmakla birlikte, çok değerli sistemleri hedef aldığına dair güçlü bir gösterge sunuyor.

Matthieu Faou ve Zoltán Rusnák ile yapılan açıklamada, bu yıl Ukrayna’da yedi bilgisayarda Turla tespit edildiğini; Gamaredon’un yüzlerce bilgisayarı riske attığı bilgisinin, Turla’nın hassas hedeflere odaklandığını gösterdiği ifade edildi. Şubat 2025’te ESET Research, Turla’nın Kazuar arka kapısının Gamaredon’un PteroGraphin ve PteroOdd ile Ukrayna’daki bir bilgisayarda çalıştırıldığını doğruladı. PteroGraphin’in, muhtemelen çöktükten veya otomatik olarak yeniden başlatılmadan önce Kazuar v3 arka kapısını yeniden başlatmak için kullanıldığı düşünülüyor; bu, iki grubun birbiriyle bağını gösteren ilk teknik kanıt olarak öne çıktı.

Sonrasında Nisan ve Haziran 2025’te Kazuar v2’nin Gamaredon araçları PteroOdd ve PteroPaste ile dağıtıldığı tespit edildi. Kazuar v3, Kazuar ailesinin en yeni dalı olarak, Turla tarafından kullanıldığına dair ileri bir olduğuna işaret eden gelişmiş bir C# casus yazılımı. Gamaredon’un dağıttığı diğer zararlı yazılımlar arasında PteroLNK, PteroStew ve PteroEffigy bulunuyor.

Rusnák açıklamasında, Gamaredon’un çıkarılabilir sürücüler üzerinde spearphishing ve kötü amaçlı LNK dosyaları kullanmasıyla bilindiğini vurguladı; iki grup arasında, aralarında FSB ile kurulan bağın da bulunduğu uzun bir iş birliği geçmişinin varlığı düşünülüyor. Ukrayna Güvenlik Servisi’nin verilerine göre, Gamaredon’un FSB’nin karşı istihbarat biriminin Kırım’da görev yapan 18. Merkez (Bilgi Güvenliği Merkezi) tarafından işletildiği düşünülüyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi ise Turla’yı FSB’nin 16. Merkezi’ne bağlamaktadır.

Organizasyonel olarak, Turla ve Gamaredon arasındaki ilişkinin Soğuk Savaş dönemiyle uzanan uzun bir geçmişe sahip olduğu belirtiliyor; 2022’de Ukrayna’daki geniş çaplı çatışma bu yakınlaşmayı muhtemelen güçlendirmiştir. ESET’in verileri, Gamaredon ve Turla’nın son dönemde Ukrayna savunma sektörüne odaklandığını net bir şekilde ortaya koyuyor.

Gamaredon en az 2013 yılından itibaren aktif durumda ve çoğunlukla Ukrayna devlet kurumlarına yönelik saldırılarla anılıyor. Snake olarak da bilinen Turla ise 2004 yılından beri faaliyet gösteren, Avrupa, Orta Asya ve Orta Doğu’daki üst düzey hedefleri hedefleyen, kısa sürede pek çok önemli olayla adını duyurmuş bir siber istihbarat grubudur. 2008’de ABD Savunma Bakanlığı ve 2014’te RUAG gibi kurumların sistemlerine sızmasıyla da bilinir. Bu haberin kaynağı BYZHA (Beyaz Haber Ajansı) olarak belirtiliyor.