Крупнейшие хакерские группы кремля - Turla и Gamaredon - сотрудничают в кибератаках на Украину
По данным исследователей компании ESET, две самые активные российские хакерские группы - Turla и Gamaredon - в последнее время были замечены в совместных операциях, направленных на компрометацию устройств в Украине. Обе группы связаны с Федеральной службой безопасности России (ФСБ), хотя принадлежат к разным ее центрам.
Turla - одна из самых сложных APT-групп в мире, известная своими узконаправленными атаками на высокопрофильные цели, в частности на Министерство обороны США (2008), МИД Германии и военные структуры Франции. Она использует скрытое вредоносное ПО для Linux и даже туннелирование трафика через спутниковые интернет-соединения для маскировки активности.
Gamaredon, напротив, действует масштабно, часто массово атакуя украинские организации. Ее инструменты менее изощренные, но быстро собирают большие объемы данных. Группа не скрывает связей с российскими властями и не пытается скрыть следы своей деятельности.
По словам ESET, в течение последних месяцев на нескольких устройствах было обнаружено одновременное присутствие вредоносного ПО обеих групп, что свидетельствует о техническом взаимодействии. В частности, Turla использовала инструменты Gamaredon для перезапуска собственного ПО Kazuar, а также для развертывания новой версии Kazuar v2. Это первый случай, когда исследователи смогли технически связать эти две группы.
ESET также рассматривает альтернативную версию - Turla могла перехватить инфраструктуру Gamaredon, как это уже было в 2019 году с иранской APT-группой. Однако основная гипотеза - совместная операция, где Gamaredon обеспечивает массовое заражение, а Turla выборочно работает с ценными целями.
В феврале, апреле и июне 2025 года ESET зафиксировала по меньшей мере четыре случая совместного заражения. Gamaredon использовал набор инструментов PteroLNK, PteroStew, PteroOdd, PteroEffigy и PteroGraphin, а Turla - Kazuar v3. Во всех случаях программное обеспечение ESET было установлено уже после инфицирования, поэтому идентифицировать "полезную нагрузку" инструмента Turla было невозможно. В некоторых случаях Turla выдавала команды через импланты Gamaredon, что подтверждает глубокую интеграцию.
По мнению ESET, такое сотрудничество свидетельствует о координации между подразделениями ФСБ, где Gamaredon обеспечивает доступ к большому количеству машин, а Turla фокусируется на тех, которые содержат особо чувствительную информацию.