ESET, Rusya temaslı Gamaredon ve Cinsle ortasındaki birinci iş birliğini ortaya çıkardı

Siber güvenlik şirketi ESET, Gamaredon ve Cinsle ortasında bilinen ilk iş birliği olaylarını ortaya çıkardı. Her iki tehdit kümesi da Rusya’nın ana istihbarat kurumu FSB ile ilişkili ve birlikte Ukrayna’daki yüksek profilli amaçları taarruza uğrattı. Etkilenen makinelerde Gamaredon çok çeşitli araçlar kullanmış. Bu makinelerden birinde Tıpla, Gamaredon implantları aracılığıyla komutlar vermiş.

ESET, tipinin birinci örneği olan bir keşifte, Gamaredon aracı PteroGraphin’in Ukrayna’daki bir makinede Cinsle kümesinin Kazuar art kapısını tekrar başlatmak için kullanıldığını gözlemledi. Daha yakın vakitte ESET, Turla’nın art kapısının Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti. Turla’nın kurban sayısı, Gamaredon’un akınlarının sayısına kıyasla çok düşük, bu da Turla’nın en pahalı makineleri seçtiğini gösteriyor.

ESET araştırmacısı Matthieu Faou’nun Zoltán Rusnák ile yaptığı Çeşitle ve Gamaredon iş birliği keşfine ait açıklamada şunları söyledi: “Bu yıl içinde ESET, Ukrayna’daki yedi bilgisayarda Turla’yı tespit etti. Gamaredon binlerce olmasa da yüzlerce bilgisayarı tehlikeye attığı için bu durum Turla’nın sırf belli bilgisayarlara, muhtemelen son derece hassas istihbarat içeren bilgisayarlara ilgi duyduğunu gösteriyor.” 

Şubat 2025’te ESET Research, Turla’nın Kazuar art kapısının Gamaredon’un PteroGraphin ve PteroOdd tarafından Ukrayna’daki bir bilgisayarda çalıştırıldığını tespit etti. PteroGraphin, muhtemelen çöktükten yahut otomatik olarak başlatılmadıktan sonra Kazuar v3 art kapısını tekrar başlatmak için kullanıldı. Böylelikle PteroGraphin muhtemelen Cinsle tarafından bir kurtarma sistemi olarak kullanıldı. Bu, teknik göstergeler aracılığıyla bu iki kümesi birbirine bağlayabilen birinci örnek. Nisan ve Haziran 2025’te ESET, Kazuar v2’nin Gamaredon araçları PteroOdd ve PteroPaste kullanılarak dağıtıldığını tespit etti.

Kazuar v3, Kazuar ailesinin en son kolu ve ESET’in sırf Çeşitle tarafından kullanıldığına inandığı gelişmiş bir C# casusluk implantı; birinci defa 2016 yılında görüldü. Gamaredon tarafından dağıtılan başka berbat gayeli yazılımlar PteroLNK, PteroStew ve PteroEffigy idi.

Rusnák ise yaptığı açıklamada: “Gamaredon, çıkarılabilir şoförlerde spearphishing ve berbat gayeli LNK belgeleri kullanmasıyla bilinir, bu nedenle bunlardan biri en mümkün tehlike vektörüydü. Her iki kümenin da – başka farklı FSB ile bağlantılı – iş birliği yaptığına ve Gamaredon’un Turla’ya birinci erişimi sağladığına inanıyoruz” dedi.

Daha evvel de belirtildiği üzere, her ikisi de Rus FSB’nin bir modülü. Ukrayna Güvenlik Servisi’ne nazaran, Gamaredon’un FSB’nin karşı istihbarat servisinin bir modülü olan Kırım’daki FSB’nin 18. Merkezi (diğer ismiyle Bilgi Güvenliği Merkezi) vazifelileri tarafından işletildiği düşünülüyor., Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Turla’yı Rusya’nın ana sinyal istihbarat ajansı olan FSB’nin 16. Merkezi’ne atfediyor.

Organizasyonel açıdan, Çeşitle ve Gamaredon ile sıkça ilişkilendirilen bu iki kuruluşun, Soğuk Savaş devrine kadar uzanan uzun bir iş birliği geçmişi olduğunu belirtmek gerekir. 2022’de Ukrayna’nın tam ölçekli işgali, bu yakınlaşmayı muhtemelen daha da güçlendirmiştir. ESET bilgileri, Gamaredon ve Turla’nın son aylarda Ukrayna savunma bölümüne odaklandığını açıkça göstermektedir. 

Gamaredon en az 2013 yılından beri aktif durumda. Çoğunlukla Ukrayna devlet kurumlarına yönelik birçok taarruzdan sorumlu. Snake olarak da bilinen Cinsle, en az 2004 yılından beri aktif olan, muhtemelen 1990’ların sonlarına kadar uzanan, makus şöhretli bir siber casusluk kümesidir. Küme, yüklü olarak Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar üzere yüksek profilli gayeleri amaç alıyor. 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG üzere büyük kuruluşların sistemlerine sızmasıyla tanınıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı