Siber güvenlik şirketi ESET, Gamaredon ve Tıpla ortasında bilinen ilk iş birliği olaylarını ortaya çıkardı. Her iki tehdit kümesi da Rusya’nın ana istihbarat kurumu FSB ile ilişkili ve birlikte Ukrayna’daki yüksek profilli gayeleri hücuma uğrattı. Etkilenen makinelerde Gamaredon çok çeşitli araçlar kullanmış. Bu makinelerden birinde Tıpla, Gamaredon implantları aracılığıyla komutlar vermiş.
ESET, tipinin birinci örneği olan bir keşifte, Gamaredon aracı PteroGraphin’in Ukrayna’daki bir makinede Çeşitle kümesinin Kazuar art kapısını tekrar başlatmak için kullanıldığını gözlemledi. Daha yakın vakitte ESET, Turla’nın art kapısının Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti. Turla’nın kurban sayısı, Gamaredon’un hücumlarının sayısına kıyasla çok düşük, bu da Turla’nın en kıymetli makineleri seçtiğini gösteriyor.
ESET araştırmacısı Matthieu Faou’nun Zoltán Rusnák ile yaptığı Tıpla ve Gamaredon iş birliği keşfine ait açıklamada şunları söyledi: “Bu yıl içinde ESET, Ukrayna’daki yedi bilgisayarda Turla’yı tespit etti. Gamaredon binlerce olmasa da yüzlerce bilgisayarı tehlikeye attığı için bu durum Turla’nın sırf belli bilgisayarlara, muhtemelen son derece hassas istihbarat içeren bilgisayarlara ilgi duyduğunu gösteriyor.”
Şubat 2025’te ESET Research, Turla’nın Kazuar art kapısının Gamaredon’un PteroGraphin ve PteroOdd tarafından Ukrayna’daki bir bilgisayarda çalıştırıldığını tespit etti. PteroGraphin, muhtemelen çöktükten yahut otomatik olarak başlatılmadıktan sonra Kazuar v3 art kapısını yine başlatmak için kullanıldı. Böylelikle PteroGraphin muhtemelen Tıpla tarafından bir kurtarma formülü olarak kullanıldı. Bu, teknik göstergeler aracılığıyla bu iki kümesi birbirine bağlayabilen birinci örnek. Nisan ve Haziran 2025’te ESET, Kazuar v2’nin Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti.
Kazuar v3, Kazuar ailesinin en son kolu ve ESET’in sadece Çeşitle tarafından kullanıldığına inandığı gelişmiş bir C# casusluk implantı; birinci kere 2016 yılında görüldü. Gamaredon tarafından dağıtılan öbür makus hedefli yazılımlar PteroLNK, PteroStew ve PteroEffigy idi.
Rusnák ise yaptığı açıklamada: “Gamaredon, çıkarılabilir şoförlerde spearphishing ve makus gayeli LNK evrakları kullanmasıyla bilinir, bu nedenle bunlardan biri en muhtemel tehlike vektörüydü. Her iki kümenin da – farklı başka FSB ile bağlantılı – iş birliği yaptığına ve Gamaredon’un Turla’ya birinci erişimi sağladığına inanıyoruz” dedi.
Daha evvel de belirtildiği üzere, her ikisi de Rus FSB’nin bir kesimi. Ukrayna Güvenlik Servisi’ne nazaran, Gamaredon’un FSB’nin karşı istihbarat servisinin bir modülü olan Kırım’daki FSB’nin 18. Merkezi (diğer ismiyle Bilgi Güvenliği Merkezi) vazifelileri tarafından işletildiği düşünülüyor., Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Turla’yı Rusya’nın ana sinyal istihbarat ajansı olan FSB’nin 16. Merkezi’ne atfediyor.
Organizasyonel açıdan, Tıpla ve Gamaredon ile sıkça ilişkilendirilen bu iki kuruluşun, Soğuk Savaş devrine kadar uzanan uzun bir iş birliği geçmişi olduğunu belirtmek gerekir. 2022’de Ukrayna’nın tam ölçekli işgali, bu yakınlaşmayı muhtemelen daha da güçlendirmiştir. ESET bilgileri, Gamaredon ve Turla’nın son aylarda Ukrayna savunma dalına odaklandığını açıkça göstermektedir.
Gamaredon en az 2013 yılından beri aktif durumda. Çoğunlukla Ukrayna devlet kurumlarına yönelik birçok akından sorumlu. Snake olarak da bilinen Tıpla, en az 2004 yılından beri aktif olan, muhtemelen 1990’ların sonlarına kadar uzanan, makus şöhretli bir siber casusluk kümesidir. Küme, yüklü olarak Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar üzere yüksek profilli gayeleri hedef alıyor. 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG üzere büyük kuruluşların sistemlerine sızmasıyla tanınıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
