APT skupiny s napojením na ruskou FSB zaútočili na vysoce postavené cíle na Ukrajině

Podle Služby bezpečnosti Ukrajiny provozují skupinu Gamaredon důstojníci 18. centra FSB (známého také jako Centrum informační bezpečnosti) na Krymu, které je součástí kontrarozvědné služby FSB. Pokud jde o skupinu Turla, britské Národní centrum kybernetické bezpečnosti (NCSC) ji spojuje s 16. centrem FSB, což je hlavní ruská agentura signálového zpravodajství.

Výzkumní experti ze společnosti ESET odhalili první známé případy spolupráce mezi APT skupinami Gamaredon a Turla. APT skupina neboli Advanced Persistent Threat je uskupení kybernetických útočníků, kteří se zaměřují na pokročilé přetrvávající hrozby. Obvykle se jedná o kyberzločince z řad státních organizací nebo organizací, které pracují na objednávku států. Obě skupiny jsou spojovány s hlavní ruskou zpravodajskou agenturou FSB.

Na napadených zařízeních nasadili útočníci ze skupiny Gamaredon širokou škálu nástrojů. V jednom případě byli díky nim útočníci ze skupiny Turla schopni vydávat své příkazy.

"V průběhu tohoto roku jsme detekovali aktivity skupiny Turla na sedmi zařízeních na Ukrajině. Vzhledem k tomu, že skupina Gamaredon kompromituje stovky, ne-li tisíce zařízení, se zdá, že útočníci z Turla mají zájem pouze o konkrétní cíle, pravděpodobně ty, které obsahují vysoce citlivé informace. Skupina Gamaredon je známá tím, že využívá spearphishing a škodlivé soubory LNK na ovladačích, které lze odinstalovat. Jeden z těchto vektorů s největší pravděpodobností použila při kompromitaci. S vysokou mírou jistoty věříme, že obě skupiny - každá samostatně napojená na FSB - spolupracují a že Gamaredon umožňuje skupině Turla počáteční přístup k jejím cílům. APT skupinu Gamaredon sledujeme dlouhodobě. Kromě nyní nově odhalené spojitosti se skupinou Turla spolupracuje například i s další APT skupinou InvisiMole, kde sledujeme podobný vzorec chování," říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET.

V únoru 2025 bezpečnostní experti z ESETu zaznamenali spuštění backdooru Kazuar skupiny Turla prostřednictvím nástrojů PteroGraphin a PteroOdd skupiny Gamaredon, a to na zařízení na Ukrajině. Nástroj PteroGraphin útočníci využili k restartování backdooru Kazuar v3, a to pravděpodobně poté, co došlo k jeho pádu nebo se nespustil automaticky.

Útočníci z Turla tedy nástroj PteroGraphin pravděpodobně použili jako metodu obnovy. Poprvé se tak podařilo propojit tyto dvě skupiny na základě technických indikátorů.

V dubnu a červnu 2025 pak experti z ESETu zaznamenali, že backdoor Kazuar v2 útočníci nasadili pomocí nástrojů PteroOdd a PteroPaste patřících opět skupině Gamaredon.

Backdoor Kazuar v3 je nejnovější verze škodlivého kódu z malware rodiny Kazuar. Jedná se o pokročilý špionážní malware napsaný v programovacím jazyce C#, který, jak se ESET domnívá, používá výhradně skupina Turla.

Poprvé jej kyberbezpečnostní specialisté objevili v roce 2016. Dalším malwarem, který nasadila v rámci zjištěných aktivit skupina Gamaredon, byly nástroje PteroLNK, PteroStew a PteroEffigy.

Napojení na ruskou zpravodajskou agenturu FSB

Z organizačního hlediska stojí za zmínku, že tyto dvě entity běžně spojované s APT skupinami Turla a Gamaredon mají dlouhou historii spolupráce, která sahá až do období studené války. Invaze na Ukrajinu v roce 2022 pravděpodobně tuto konvergenci posílila, přičemž data společnosti ESET jasně ukazují, že aktivity skupin Gamaredon a Turla se v posledních měsících zaměřují na ukrajinský obranný sektor.

APT skupina Gamaredon je aktivní nejméně od roku 2013. Je zodpovědná za mnoho útoků, převážně proti ukrajinským vládním institucím. APT skupina Turla, známá také jako Snake, je nechvalně proslulá kyberšpionážní skupina, která je aktivní nejméně od roku 2004, možná už od konce 90. let.

Zaměřuje se především na vysoce postavené cíle, jako jsou vlády a diplomatické subjekty v Evropě, Střední Asii a na Blízkém východě. Je známo, že pronikla do významných organizací, jako byly Ministerstvo obrany (nyní války) Spojených států amerických v roce 2008 a švýcarská obranná společnost RUAG v roce 2014.